Wordfence 和 WPScan 发布年中 WordPress 安全报告

根据该公司与 Wordfence 发布的年中安全合作报告，WPScan 有望为提交到其数据库的 WordPress 插件漏洞发布创纪录的一年。 2021 年上半年，WPScan 记录了 602 个新漏洞，迅速超过了 2020 年全年报告的 514 个。

该报告基于来自 Wordfence 平台的攻击数据和来自 WPScan 漏洞数据库的数据，提供了比两家公司单独提供的 WordPress 安全当前状态更全面的图片。

报告中强调的趋势之一是密码攻击的增加。 Wordfence 在 2021 年上半年阻止了超过 860 亿次密码攻击尝试。攻击者使用多种方法来访问 WordPress 网站，包括针对已泄露密码列表测试网站、字典攻击和资源密集型暴力攻击。

Wordfence 发现标准登录是 40.4% 尝试的主要密码攻击目标，其次是 XML-RPC (37.7%)。由于这些攻击似乎在增加，报告建议网站所有者对所有可用帐户使用 2 因素身份验证，使用每个帐户唯一的强安全密码，在不使用时禁用 XML-RPC，并实施暴力保护。

来自 Wordfence 的 Web 应用程序防火墙的数据显示，由于漏洞利用和 IP 地址被阻止，超过 40 亿个请求被阻止。该报告包括按防火墙规则被防火墙阻止的请求百分比的细分。目录遍历占请求的 27.1%。例如，当攻击者试图在未经授权的情况下访问文件并执行诸如读取或删除站点的 /wp-config.php 文件之类的操作时。这种细分还强调了一个事实，即某些较旧的漏洞仍然经常成为攻击者的目标。

您在 WordPress 生态系统中听到的绝大多数漏洞都来自插件，主题所占的比例要小得多。该报告指出，今年上半年 WPScan 列出的 602 个漏洞中，只有三个是在 WordPress 核心中发现的。

在按类型分析漏洞时，WPScan发现跨站脚本（XSS）漏洞占所有漏洞的一半以上（52%），其次是跨站请求伪造（CSRF），占16%，SQL注入（13%） 、访问控制问题 (12%) 和文件上传问题 (7%)。使用通用漏洞评分系统 (CVSS) 的分数，WPScan 发现报告的漏洞中有 17% 为严重，31% 为高，50% 为中等严重性。

Wordfence 和 WPScan 都声称，今年报告的更多漏洞表明 WordPress 生态系统的增长以及对安全性的成熟、健康的兴趣。随着时间的推移，主题和插件并没有变得越来越不安全，而是有更多的人对发现和报告漏洞感兴趣。

“首先，我们没有在插件和主题中看到很多新引入的漏洞，而是在旧插件和主题中看到许多旧漏洞被报告/修复，直到现在才发现，”Wordfence威胁分析师克洛伊·钱伯兰 (Chloe Chamberland) 说。

“由于研究人员的活跃度更高，因此不会频繁引入漏洞，并且检测到更多漏洞，这反过来又对 WordPress 生态系统的安全性产生了积极影响。考虑到经常发现的并不是新引入的漏洞，我有信心地说，发现的增加并不表明生态系统变得越来越不安全，而是变得更加安全。”

Chamberland 还表示，她认为当漏洞被披露给供应商并让他们从事故中吸取教训时，会产生多米诺骨牌效应，促使他们在未来开发更安全的产品。

“根据经验，我花了很多时间寻找 WordPress 插件中的漏洞，从我的角度来看，事情肯定变得更加安全，”她说。 “今天，我经常在所有正确的地方找到能力检查和随机数检查，以及适当的文件上传验证措施，以及所有好东西。在积极维护的插件和主题中找到容易被利用的漏洞变得越来越难，这是一件好事！”

年中报告以 PDF 格式提供，可从 WPScan 网站免费下载。 WPScan 创始人兼首席执行官 Ryan Dewhurst 表示，他预计 2021 年将有一份年终报告。他尚未与 Wordfence 讨论此事，但两家公司正在集思广益，探讨其他合作方式。