WordPress 保持着内容管理系统 (CMS) 的主导地位,据报道占据了整个市场份额的 63.3%。据Search Logistics报道,至少 43.2% 的网络(8.1 亿个网站)通过 WordPress 运行。虽然它提供了内容管理的简单性,并且众多插件为默认的 WordPress 体验提供了额外的多功能性,但它也带来了安全挑战。
它的广泛使用使其成为攻击者的诱人目标,他们可以发现并链接不同的 WordPress漏洞来攻击大量网站。据Colorlib报道,每天大约有 13,000 个 WordPress 网站遭到黑客攻击。
主题插件功能的加入使安全挑战进一步复杂化,因为大多数插件/主题通常不如核心 WordPress 基础安全。 WordPress 开发者安全页面直接声称该平台存在缺陷,并指出,“因为它提供了如此强大的功能和灵活性,所以插件和主题是关键的弱点。”
为了解决这些 WordPress 漏洞,有必要制定一份常见 WordPress 漏洞列表,以便用户能够有效防范潜在威胁。
2024 年 WordPress 十大漏洞列表
据观察, 2023 年至 2024 年间报告的 5,948 个漏洞中,97% 源于插件,3% 源于主题,而大约只有 0.2% 源于核心 WordPress 软件包。在这些核心漏洞中,所有这些漏洞都被认为是低严重性问题,并不是特别严重。这些统计数据表明,这些插件对 WordPress 构成了最强大的安全威胁。
Patchstack 研究人员指出,许多 WordPress 插件往往被放弃或变成“僵尸插件”,僵尸插件是看似最新的附加组件或附加组件,但通常包含安全问题或没有得到充分关注由开发商。
许多有缺陷的插件是由似乎不再联系或缺乏联系方式的开发人员发布的,这凸显了 WordPress 生态系统中的一个明显缺陷,因为即使不再积极开发或从 WordPress 商店中删除,它们仍然在网站上保持活跃状态。
1. 跨站脚本(XSS)(3,171 个漏洞)
跨站脚本是最常见的 WordPress 漏洞,跨站脚本 (XSS) 占所有新 WordPress 安全漏洞的 53.3%。攻击者可以利用此漏洞将恶意脚本注入其他用户访问的 WordPress 页面中,从而劫持会话、破坏网站或窃取访问者的数据。然而,在报告的跨站点脚本漏洞中,有 654 个(超过三分之一)需要管理员权限才能成功利用。
2. 跨站请求伪造(CSRF)(1,098 个漏洞)
攻击者可以利用跨站点请求伪造 (CSRF) WordPress 漏洞来诱骗访问者对经过身份验证的 Web 应用程序执行意外操作,从而导致 WordPress 站点上发生未经授权的交易或数据操纵。跨站请求伪造(CSRF)排名为 16.9%,在 WordPress 常见漏洞中排名第二,是 2022 年披露的 CSRF 漏洞的三倍。
3. 12.9% 的访问控制被破坏(767 个漏洞)
这是一个 WordPress 应用程序漏洞,当应用程序未对经过身份验证的用户实施足够级别的限制时,就会发生此漏洞。攻击者可以利用此类漏洞来访问敏感数据。为确保您的网站不易受到访问控制损坏的影响,请保持您网站上使用的 WordPress 核心、插件和其他软件为最新版本。
4. SQL注入(266个漏洞)
攻击者可利用 SQL 注入 WordPress 漏洞向主机发送 SQL 数据检索代码,以获得对数据库服务器的不受限制的访问。这种形式的攻击还依赖于利用 WordPress 输入验证中的弱点。 SQL 注入漏洞在 2023 年略有增加,报告了 266 个此类漏洞,占报告的 WordPress 漏洞的 4.47%。
5.敏感数据泄露(119个漏洞)
由于敏感数据和个人数据处理不当,敏感数据泄露是一个常见问题。为了确保您的 WordPress 网站符合数据处理法规,请将 WordPress 网站上敏感数据的访问权限限制为仅需要数据的用户,同时保持足够的数据加密。
6.任意文件传输(91个漏洞)
在任意文件传输 WordPress 漏洞中,攻击者可以操纵上传或 POST 请求以在 Web 服务器进程上执行任意文件,从而通过精心设计的恶意软件或泄露敏感数据来造成危害。
7. 权限提升(71个漏洞)
在权限提升 WordPress 漏洞中,攻击者首先获得对低级别帐户的访问权限,然后再升级权限以访问管理员级别帐户,从而允许访问更广泛的资源。<
8. PHP对象注入(54个漏洞)
PHP 对象注入是 WordPress 的一个漏洞,攻击者可以通过注入任意 php 代码来执行不同类型的恶意攻击,例如代码注入、SQL 注入、路径遍历和应用程序拒绝服务。当用户提供的输入在传递给 PHP 函数之前没有经过适当的净化时,就会发生这种情况。
9.绕过漏洞(48个漏洞)
身份验证绕过 WordPress 漏洞是一种缺陷,使威胁行为者能够规避或绕过站点身份验证机制。这通常是由于攻击者使用非常规访问过程而导致的,该过程没有经过应进行正确身份验证的正确检查点。利用此 WordPress 漏洞,攻击者可能会执行其他受限操作或重置用户密码,从而获得对 WordPress 帐户的未经授权的访问。
10.服务器端请求伪造(44个漏洞)
通过利用服务器端请求伪造 (SSRF) 漏洞,攻击者可以滥用 WordPress 托管服务器来访问或修改不应向公众公开的资源。已知5.2.4 之前的WordPress版本由于 URL 验证期间的路径处理不当而包含服务器端请求伪造 (SSRF) 漏洞。
WordPress 漏洞的成因
维护 WordPress 网站以及了解与其组件相关的复杂安全性可能具有挑战性。 WordPress 生态系统仍然受到几个不同问题的困扰,这些问题包括未积极维护但仍在使用的插件以及不完全理解管理操作的用户。
不安全的软件、插件和主题
用户可能无法定期更新 WordPress 核心、插件和主题,从而导致网站容易受到已知安全漏洞的影响。平均而言,42% 的 WordPress 网站至少安装了 1 个易受攻击的软件。已安装的插件也可能不会得到积极关注,因为开发人员会放弃它们,发现处理安全问题势不可挡,或者选择专注于其他项目。
过时的 WordPress 核心
过时的 WordPress 可能会让您容易受到威胁,因为您错过了最新的安全修复、兼容性补丁和产品改进。虽然插件和主题构成的威胁相对较高,但据报道,至少49.8% 的受感染网站运行的是过时版本的平台。
弱凭证/身份验证机制
使用常见/默认用户名(例如“admin”)和密码(例如“admin123”)使攻击者更容易通过管理面板上的暴力攻击来破坏您的网站。为网站上的每个用户使用密码和用户名的复杂组合。
托管设施差
理想的托管提供商应该赋予您管理创建、计划或自动备份和恢复备份的能力。依赖不可靠或安全性较差的托管提供商会因服务器配置不足和缺乏安全措施而带来各种安全风险。
未定义的用户角色/权限
用户角色和权限配置不当可能会导致未经授权访问 WordPress 网站的敏感区域,从而可能损害其安全性。据观察,58.9% 的报告漏洞不需要任何身份验证即可被利用。
只有 13.4% 的新漏洞需要管理员角色才能成功利用。
默认 WP 登录 URL
所有站点都启用了默认的 WordPress 登录页面 URL 和管理面板前缀(/wp-login.php 和 /wp-admin),使攻击者很容易找到它们。可以重命名这些文件以防止有针对性的攻击。
结论
为了充分享受 WordPress 作为内容管理系统 (CMS) 的优势,有必要通过足够的安全措施来防范本文中提到的常见 WordPress 漏洞。
尽管 WordPress 核心相对安全且已积极修补,但用户可能希望通过常见插件和主题来扩展其网站功能,而这些插件和主题可能不会主动审查安全问题,并且可能会危及网站的其余部分。
我们敦促WordPress API 开发人员和管理员遵循官方安全指南,以防止攻击并缓解常见的 WordPress 漏洞。
发表评论
您还未登录,请先登录。
登录