2017年WordPress插件及主题漏洞221个 只有8个补丁 1700多万网站受威胁

2017年某WordPress漏洞数据库收录WordPress插件及主题漏洞221个,其中易受攻击的插件202个,易受攻击的主题5个,主要的漏洞类型包括跨站脚本漏洞(XSS)35.1%、SQL注入漏洞(SQLi)19.8%及失效的访问控制9.9%

统计数据来源于threatpress最新的  WordPress漏洞数据库

https://db.threatpress.com/

2017年WordPress插件及主体漏洞221个 影响1700多万网站

2017年在我们的数据库中添加了221个漏洞。漏洞总数减少了69%。如同2016年一样,跨站脚本漏洞(XSS)一直位列榜首。我们发现越来越多的WordPress插件和主题,容易受到跨站点脚本(XSS)漏洞的攻击。这是因为许多开发人员不重视转义数据输出。2017年,SQL注入漏洞也大幅上升。令人惊讶的是,有17,101,300+网站被WordPress插件中的漏洞所威胁。

  • 总易受攻击的插件 – 202
  • 最脆弱的主题 – 5
  • 受WordPress.org存储库漏洞影响的插件 – 153
  • 受漏洞影响的NonWordPress.org存储库插件 – 24

2017年WordPress插件及主题的三大漏洞类型

  • 跨站点脚本漏洞(XSS)
  • SQL注入漏洞(SQLi)
  • 失效的访问控制

按影响的插件数量 漏洞类型排序如下

  • XSS(跨站脚本) – 71
  • SQL注入 – 40
  • 无限制的访问 – 20
  • 跨站请求伪造(CSRF) – 12
  • 多 – 10
  • 信息披露 – 10
  • 任意文件上传 – 7
  • 旁路 – 7
  • 任意文件下载 – 7
  • PHP的对象注入 – 5
  • 远程文件包含 – 3
  • 本地文件包含 – 3
  • 任意代码执行 – 2
  • 直接静态代码注入 – 1
  • 目录遍历 – 1

2017年受到漏洞影响的最受欢迎的5个插件

  • Yoast SEO(最流行的SEO插件) – 5,000,000+ – XSS(跨站脚本)
  • WooCommerce(最流行的电子商务插件) – 3,000,000+ – XSS(跨站脚本)
  • Smush图像压缩和优化 – 1,000,000+ – 目录遍历
  • Duplicator – 1,000,000+ – XSS(跨站脚本)
  • Loginizer – 600,000+ – SQL注入

但要命的是安全性修补方面严重滞后

  • WordPress  在2017年发布了8个安全更新。
  • ThreatPress漏洞数据库中的漏洞总数   为3321
  • 2005-02-20发现了第一个漏洞

发表评论