2020年披露的WordPress漏洞中超过96％受到第三方代码的影响

根据网站安全公司Patchstack（以前的WebARX）的最新报告，到2020年，共有580多个WordPress漏洞被披露，但其中绝大多数影响了第三方插件和主题，而不是WordPress核心。

该报告基于Patchstack的WordPress漏洞数据库中的数据，该数据包括公司内部研究团队及其漏洞赏金社区，第三方网络安全供应商以及独立安全研究人员收集的信息。

值得注意的是，WordPress内容管理系统（CMS）支持Internet上40％以上的网站，并且用户可以使用数以万计的插件来实现各种功能。

对去年披露的漏洞的分析显示，在582个独特的问题中，超过96％的问题实际上影响了第三方主题或插件，其中许多主题存在于数百万个网站上。在插件中发现了470多个安全漏洞，只有22个漏洞影响了WordPress核心，其余的都影响了主题。

Patchstack分析了50,000个WordPress网站，发现它们平均使用23个第三方插件，其中四个未更新为最新版本。

“在网站上安装了每个其他插件之后，暴露于潜在漏洞的风险就会增加。网站滞后于更新的事实进一步增加了风险，” Patchstack在其报告中写道。

跨站点脚本（XSS）漏洞是最常见的漏洞，其次是SQL注入，跨站点请求伪造（CSRF），信息泄露和任意文件上传漏洞。

Patchstack告诉《安全周刊》，根据今年通过其漏洞赏金计划提交的漏洞报告，与2020年相比，发现的漏洞数量似乎有所增加。该公司去年对400家开发商和数字代理商进行的调查还显示，攻击增加。