外媒1月23日消息，安全研究人員近期公布了2017年 WordPress 插件和主題漏洞的統(tǒng)計數(shù)據(jù)，這些數(shù)據(jù)來源于 ThreatPress 最新的 WordPress 漏洞數(shù)據(jù)庫。據(jù)悉，目前 ThreatPress 正在監(jiān)視大量的數(shù)據(jù)源，以便實時向數(shù)據(jù)庫中添加新的漏洞。

2017 年 ThreatPress 在其數(shù)據(jù)庫中添加了 221 個漏洞，總數(shù)較之前減少了 69 ％。數(shù)據(jù)顯示， 跨站腳本（XSS）與 2016 年一樣，仍然位列榜首。研究人員猜測是因為許多開發(fā)人員不重視轉(zhuǎn)義數(shù)據(jù)輸出，才導(dǎo)致了越來越多的 WordPress 插件和主題受到跨站點腳本（XSS）漏洞的攻擊。此外， SQL 注入漏洞在 2017 年也大幅上升。

令人驚訝的是，目前有許多網(wǎng)站受到 WordPress 插件中的漏洞威脅，據(jù)初步統(tǒng)計，安裝插件的網(wǎng)站總數(shù)已達 17,101,300 + ，其中：

○ 易受攻擊的插件 – 202

○ 易受攻擊的主題 – 5

○ 受 WordPress.org 存儲庫漏洞影響的插件 – 153

○ 受漏洞影響的 非 WordPress.org 存儲庫插件 – 24

　　WordPress 的三大漏洞

○ 跨站點腳本（ XSS ）

○ SQL 注入（ SQLi ）

○ 損壞的訪問控制

按漏洞類型分類的插件 TOP 5 統(tǒng)計

○ XSS（跨站腳本） – 71

○ SQL注入 – 40

○ 不受限制的訪問 – 20

○ 跨站請求偽造（CSRF） – 12

○ 多重攻擊（Multi） – 10

在 2017 年受到漏洞影響的最受歡迎的 5 個插件

○ Yoast SEO（最流行的 SEO 插件） – 5,000,000 –> 受 XSS（跨站腳本）影響

○ WooCommerce（最流行的電子商務(wù)插件） – 3,000,000 –> 受 XSS（跨站腳本）影響

○ Smush 圖像壓縮和優(yōu)化 – 1,000,000 –> 受 目錄遍歷 影響

○ Duplicator – 1,000,000 –> 受 XSS（跨站腳本）影響

○ Loginizer – 600,000 –> 受 SQL 注入影響

滯后的安全更新

○ WordPress 在 2017 年發(fā)布了 8 個安全更新。

○ 安全漏洞數(shù)據(jù)庫中的漏洞總數(shù)為 3321 。

○ 第一個漏洞發(fā)現(xiàn)于 2005-02-20 。