2017 年 WordPress 插件和主题漏洞的统计数据

外媒 1 月 23 日消息，安全研究人员近期公布了 2017 年 WordPress 插件和主题漏洞的统计数据，这些数据来源于 ThreatPress 最新的 WordPress 漏洞数据库。据悉，目前 ThreatPress 正在监视大量的数据源，以便实时向数据库中添加新的漏洞。

  2017 年整体统计数据

  2017 年 ThreatPress 在其数据库中添加了 221 个漏洞，总数较之前减少了 69 ％。数据显示， 跨站脚本（XSS）与 2016 年一样，仍然位列榜首。研究人员猜测是因为许多开发人员不重视转义数据输出，才导致了越来越多的 WordPress 插件和主题受到跨站点脚本（XSS）漏洞的攻击。此外， SQL 注入漏洞在 2017 年也大幅上升。

  令人惊讶的是，目前有许多网站受到 WordPress 插件中的漏洞威胁，据初步统计，安装插件的网站总数已达 17,101,300 + ，其中：

  ○ 易受攻击的插件 – 202

  ○ 易受攻击的主题 – 5

  ○ 受 WordPress.org 存储库漏洞影响的插件 – 153

  ○ 受漏洞影响的 非 WordPress.org 存储库插件 – 24

  WordPress 的三大漏洞

  ○ 跨站点脚本（ XSS ）

  ○ SQL 注入（ SQLi ）

  ○ 损坏的访问控制

  按漏洞类型分类的插件 TOP 5 统计

  ○ XSS（跨站脚本） – 71

  ○ SQL注入 – 40

  ○ 不受限制的访问 – 20

  ○ 跨站请求伪造（CSRF） – 12

  ○ 多重攻击（Multi） – 10

  在 2017 年受到漏洞影响的最受欢迎的 5 个插件

  ○ Yoast SEO（最流行的 SEO 插件） – 5,000,000  –>  受 XSS（跨站脚本）影响

  ○ WooCommerce（最流行的电子商务插件） – 3,000,000  –>  受 XSS（跨站脚本）影响

  ○ Smush 图像压缩和优化 – 1,000,000  –> 受 目录遍历 影响

  ○ Duplicator – 1,000,000   –>  受 XSS（跨站脚本）影响

  ○ Loginizer – 600,000  –> 受 SQL 注入影响

  滞后的安全更新

  ○ WordPress 在 2017 年发布了 8 个安全更新。

  ○ 安全漏洞数据库中的漏洞总数为 3321 。

  ○ 第一个漏洞发现于 2005-02-20 。