阅读 2021 年 WordPress 漏洞年度报告
已发表: 2022-01-27作为 WordPress 用户或开发人员,您已经知道您面临的最大挑战之一是完全保护您的网站免受漏洞和恶意攻击的威胁。
在一个网站和在线安全不断受到攻击的不确定世界中,所有 WordPress 网站所有者都需要比过去更认真地对待他们的安全协议。
刚刚在我们的第一份 2021 年 WordPress 漏洞报告中发布的数据不仅向您展示了 2021 年全年报告的 WordPress 漏洞,还揭示了黑客最常利用的特定漏洞。
例如,您是否知道 2021 年 WordPress 漏洞总数中有 97.1% 是由插件引起的? 了解运行安全的 WordPress 网站是否对您很重要,这一点很重要。
在 iThemes,我们不想仅仅指出问题。 我们还希望为您提供经过验证的解决方案,以确保您的 WordPress 网站完全不受漏洞影响。 在查看这些数据后,您将确切了解如何完全保护您的 WordPress 网站。
2021 年最大的收获:密切关注您的 WordPress 插件
2021 年,去年披露的所有 WordPress 漏洞中,足足有 97.1% 是由于插件问题造成的。 你没看错。
2021 漏洞来源
| 漏洞来源 | 报告数量 | 占总数的百分比 (1,628) |
|---|---|---|
| WordPress 核心 | 8 | 0.05% |
| 插件 | 1581 | 97.1% |
| 主题 | 39 | 2.4% |
但最令人担忧的是,在 2021 年报告的 1581 个插件漏洞中,有 23.2% 的漏洞没有已知的修复。 这意味着,随着我们进入 2022 年及以后,我们需要对我们下载和使用的插件更加警惕。
例如,虽然您可以从不知名的插件开发者那里获得免费的插件解决方案,但您是否完全相信它的安全性? 如数据所示,报告的插件漏洞中有 29% 尚未由其开发人员修补。
披露时的插件状态
| 威胁级别 | 报告数量 | 占总数的百分比 (1,628) |
|---|---|---|
| 已修补 | 1156 | 71% |
| 未知修复 | 377 | 23.2% |
| 插件关闭 | 95 | 5.8% |
只要有可能,请坚持使用您信任的插件开发人员,并且永远不要使用无效的 WordPress 插件和主题。 而且,当然,无论何时发布,都要使用可用的补丁更新您的插件和主题。
但即使你这样做了,在插件开发人员可以创建补丁来修复它们之前,熟练的黑客和恶意攻击者仍然会利用漏洞。
这正是您的 WordPress 网站需要坚如磐石的安全保护的原因,我们稍后会讨论。
现在,重要的是要知道 iThemes Security Pro 插件有一个内置的站点扫描器,它与版本管理功能配对以自动扫描已知漏洞并自动更新任何易受攻击的插件,因此您不必担心太多关于您的网站安全。
2021 年 9 月报告的漏洞数量大幅上升
九月是与众不同的月份。 事实上,9 月份报告的漏洞总数占漏洞总数的 20.5%,即 335 个。 从角度来看,漏洞数量第二多的月份是 10 月,报告了 173 个。 七月紧随其后,出现了 157 次。
按月划分的每个插件/主题/核心的漏洞(2021 年)
| 月 | 插件 | 主题 | 核 |
|---|---|---|---|
| 一月 | 19 | 0 | 0 |
| 二月 | 42 | 2 | 0 |
| 行进 | 58 | 1 | 0 |
| 四月 | 67 | 1 | 2 |
| 可能 | 37 | 5 | 2 |
| 六月 | 80 | 7 | 0 |
| 七月 | 157 | 7 | 0 |
| 八月 | 149 | 0 | 0 |
| 九月 | 335 | 3 | 1 |
| 十月 | 173 | 1 | 0 |
| 十一月 | 120 | 0 | 0 |
| 十二月 | 45 | 0 | 0 |
虽然当然不可能知道随着我们进一步进入 2022 年是否会出现类似的模式,但这无疑是值得我们关注的重要数据。
按月按威胁级别划分的漏洞(2021 年)
| 月 | 危急 | 高的 | 中等的 | 低的 |
|---|---|---|---|---|
| 一月 | 5 | 3 | 11 | 1 |
| 二月 | 25 | 10 | 0 | 21 |
| 行进 | 16 | 19 | 35 | 0 |
| 四月 | 25 | 27 | 37 | 1 |
| 可能 | 4 | 18 | 32 | 3 |
| 六月 | 7 | 18 | 64 | 1 |
| 七月 | 8 | 65 | 120 | 9 |
| 八月 | 11 | 135 | 56 | 37 |
| 九月 | 19 | 174 | 156 | 38 |
| 十月 | 8 | 73 | 75 | 62 |
| 十一月 | 9 | 46 | 53 | 22 |
| 十二月 | 0 | 30 | 18 | 9 |
跨站脚本作为最常见的插件漏洞
跨站点脚本 (XSS) 是一种网站安全漏洞,存在于许多 WordPress 应用程序中,例如插件和主题。
这些 XSS 攻击使攻击者能够将客户端脚本注入到其他用户查看的 WordPress 网页中。 攻击者可能会使用跨站点脚本漏洞绕过访问控制,并完全访问您网站的后端。
2021 年在 WordPress 网站上执行的跨站脚本攻击占所有 WordPress 漏洞的 54.4%。 总共有 885 个漏洞。
| 威胁级别 | 报告数量 | 占总数的百分比 (1,628) |
|---|---|---|
| 跨站脚本 (CSS) | 885 | 54.4% |
| 跨站点伪造请求 (CSFR) | 167 | 10.2% |
| SQL 注入 | 152 | 9.3% |
| 绕过 | 68 | 4.2% |
| RCE 漏洞 | 20 | 1.2% |
| PHP 漏洞 | 19 | 1.2% |
| 变量披露 | 19 | 1.2% |
| REST API | 11 | 0.7% |
| 敏感信息披露 | 6 | 0.4% |
| 所有其他人 | 281 | 17.3% |
如您所见,跨站点脚本是所有 WordPress 网站所有者的主要安全问题。 但漏洞问题并没有就此结束。
另外 10.2% 或 167 个漏洞来自跨站点伪造请求 (CSFR)。
跨站点请求伪造,也称为一键式攻击或会话骑乘,是一种对网站的恶意利用,其中 Web 应用程序信任的用户提交未经授权的命令。
很快就会发现,如果没有适当的 WordPress 安全协议,您的 WordPress 网站就会对各种跨站点攻击敞开大门。
但这些并不是您应该关注的唯一类型的漏洞。 除此之外,2021 年还报告了七种不同类型的漏洞。
并且不要忽视报告中标记为“其他”的 281 个(即 17.3%)漏洞。
通常,这些类型的攻击是主题和插件开发人员尚未理解的攻击,需要强大的 WordPress 安全插件来防止它们破坏或入侵您的网站。
2021 年的漏洞威胁级别
| 威胁级别 | 报告数量 | 占总数的百分比 (1,628) |
|---|---|---|
| 危急 | 137 | 8.4% |
| 高的 | 630 | 38.7% |
| 中等的 | 678 | 41.6% |
| 低的 | 183 | 11.2% |
WordPress 核心和主题漏洞
作为 WordPress 网站所有者,您可能已经知道随时更新插件以避免潜在攻击的重要性。
毕竟,绝大多数漏洞都是通过插件来利用的。
但是,正如 2021 年的数字所示,插件不是您的安全协议开始和结束的地方。 即使您对使用的插件保持 100% 的警惕并保持更新,您的网站仍然可能被主题中的漏洞利用。
它也可以通过核心 WordPress 软件加以利用。 去年,我们发现共有 47 个漏洞通过 WordPress 核心和各种主题被利用。 该数字约占 2021 年所有 WordPress 安全漏洞的 2.5%。
虽然这可能看起来不多,但只需要一个被利用的网站漏洞就可以完全破坏您的网站和业务的声誉。
当然,第一个解决方案是始终保持 WordPress 核心和您的主题完全修补和更新。 但正如我们关于插件所说,这只有助于解决过去已知的漏洞。
对于新的,您需要运行知道如何实时检测恶意攻击何时发生的安全软件。
确保将网站安全作为 2022 年的重点
这是 iThemes Security Pro 插件介入的地方,以帮助确保您的 WordPress 网站安全。 借助我们易于使用、直接的 WordPress 安全解决方案,您可以立即在晚上睡得更好,因为您知道您的网站完全免受黑客和恶意攻击。
第一步是了解您的站点不断受到的安全威胁的轰炸。 之后,是时候获取 iThemes Security Pro 并认真对待您的 WordPress 网站安全协议了。
借助内置的 WordPress 站点扫描程序来扫描已知的 WordPress 漏洞,并为您的登录页面提供层层保护,例如暴力保护,以及文件更改检测和用户日志记录,您的站点可以抵御黑客攻击和安全漏洞.
最好的 WordPress 安全插件安全的& 保护WordPress
自 2014 年以来由 WordPress 安全专家构建
WordPress 目前为超过 40% 的网站提供支持,因此它已成为恶意黑客的轻松目标。 iThemes Security Pro 消除了 WordPress 安全性中的猜测,从而轻松保护和保护您的 WordPress 网站。
