Patchstack 白皮书:WordPress 生态系统记录 2021 年安全漏洞增加 150%

Patchstack 已发布其 WordPress 安全状况白皮书,其中汇总了 2021 年记录的 WordPress 生态系统面临的威胁。白皮书汇总了来自多个来源的数据,包括 Patchstack 漏洞数据库、Patchstack 联盟(公司的漏洞赏金平台),并公开报道来自其他来源的 CVE。

2021 年,Patchstack 记录了近 1,500 个漏洞,与 2020 年记录的约 600 个相比增加了 150%。 Patchstack 发现其中大部分来自 WordPress.org 目录:

WordPress.org 存储库是 WordPress 插件和主题的主要来源。这些组件中的漏洞占添加到 Patchstack 数据库中的漏洞的 91.79%。

2021 年报告的其余 8.21% 的漏洞是在通过 Envato、ThemeForest、Code Canyon 等其他市场销售或仅可供直接下载的 WordPress 插件或主题的高级或付费版本中报告的。

WordPress 核心发布了四个安全版本,其中只有一个包含针对关键漏洞的补丁。此特定漏洞不在 WordPress 本身中,而是在其捆绑的开源库之一 PHPMailer 库中。

Patchstack 估计,从 2021 年开始,99.31% 的安全漏洞都在组件中——WordPress 插件和主题。主题有最严重的漏洞,今年记录了 55 个。 Patchstack 发现主题中报告的漏洞中有 12.4% 的关键 CVSS 得分为 9.0-10.0。任意文件上传漏洞是最常见的。

插件共有 35 个关键安全问题。与主题相比,此漏洞较少,但其中 29% 的漏洞未收到公开补丁。

“最令人惊讶的发现实际上也是最不幸的事实,”Patchstack 安全倡导者 Robert Rowley 说。 “我没想到会看到这么多带有严重漏洞的插件没有收到补丁。

“其中一些漏洞不需要身份验证即可执行,并且具有公开可用的概念证明(利用代码),可在网上广泛使用。对于没有收到网站易受攻击通知的网站所有者来说,现在可能已经太晚了。”

前 4 个攻击漏洞
前 4 个攻击漏洞

Patchstack 对 109 位 WordPress 网站所有者进行了调查,发现 28% 的受访者的安全预算为零,27% 的预算为 1-3 美元/月,7% 的预算约为 50 美元/月。与单个站点所有者相比,代理商更有可能将每月成本分配给安全性。

10 个最佳 WordPress 安全插件比较

相反,这些受访者的结果显示,清除恶意软件的平均成本为 613 美元。报告的妥协后清理价格从 50 美元到 4,800 美元不等。

Rowley 认为 2021 年发现的安全漏洞显着增加是安全专业人员参与度增加的证据,而不是 WordPress 生态系统变得不安全的迹象。

“这很可能是由于报告了更多的安全漏洞(发现了更多易受攻击的代码,因为有更多的人在寻找),”Rowley 说。 “Patchstack 运行一个漏洞赏金计划,该计划会向安全研究人员支付他们在 WordPress 生态系统中报告的漏洞,从而激励安全研究人员(甚至是熟悉 WordPress 的开发人员)寻找更多的安全漏洞。”

总体而言,Patchstack 今年的调查结果表明,WordPress 核心非常安全,并且绝大多数漏洞都存在于主题和插件中。用户应该监控他们的扩展并定期检查它们是否已被放弃,因为并非所有易受攻击的软件都可以保证得到修补。查看完整的安全白皮书,详细了解 2021 年最常见的漏洞类型。

发表回复

您的电子邮箱地址不会被公开。