情境示意圖,photo by Justin Morgan on unsplash
專門提供WordPress外掛程式安全服務的Patchstack,本周出版了WordPress安全狀態的年度報告,指出在2021年所發現的WordPress外掛程式重大安全漏洞中,有29%沒有被開發者修補,而且使用者可能渾然不覺。
開源的WordPress為全球最熱門的內容管理系統,去年全球大約有43.2%的網站採用WordPress建置,高於2020年的39.5%,這些WordPress網站使用了各式各樣的外掛程式來改善網站功能或呈現,也讓專門強化WordPress外掛程式安全性的資安公司應運而生,如Wordfence或Patchstack。根據Patchstack去年的分析,每個WordPress網站平均採用了18個不同的外掛程式或主題。
Patchstack的調查顯示,2020年在有關WordPress的安全漏洞中,3.78%出現在WordPress核心,卻有96.22%現身於外掛程式及主題,但到了2021年,外掛程式及主題的漏洞卻增加到99.42%,主題占了6.61%,外掛程式則是92.81%,WordPress核心漏洞降至0.58%。
圖片來源/Patchstack
這些漏洞以跨站指令碼(Cross Site Scripting,XSS)為首,總計占了49.82%,居次的是跨站請求偽造(CSRF)的11.18%,僅有0.94%屬於遠端程式攻擊漏洞。值得注意的是,在所有的WordPress網站中,有42%都安裝了至少1個含有安全漏洞的元件。
圖片來源/Patchstack
此外,在所有的漏洞中,有3.41%被列為重大等級,CVSS風險評分超過9,去年總計有35個WordPress外掛程式漏洞被列為重大等級,其中一個藏匿在All in One SEO plugin中,該外掛程式的安裝數量超過300萬,另一個出現在WP Fastest Cache plugin,安裝數量也超過100萬。
圖片來源/Patchstack
儘管上述兩個外掛程式開發者都已修補了漏洞,但也有高達29%的外掛程式重大漏洞並沒有被修補。Patchstack說,這些未修補的外掛程式有時只是簡單被WordPress、其它市集或開發者下架,並沒有警告既有的用戶,代表使用者必須手動檢查這些外掛程式的版本別或安全狀態,再加以移除或選擇其它的替代程式。
Patchstack的調查還曝露出另外一個問題,亦即儘管WordPress生態體系存在著許多安全漏洞,但WordPress網站並沒有太多的安全預算,例如有28%完全沒有安全預算,有27%每月的安全預算低於3美元,只有7%每月會編列50美元的安全預算。
精選專案.網頁設計.RWD響應式網站 / 金融保險業
網站技術:PHP . Javascript/MySql
可以透過網站中的虛擬人才點數,搭配網站獨家的Alpha金融演算模型,實現美股虛擬交易的功能。
精選專案.網頁設計.RWD響應式網站.行動版網站 / 服務類
網站技術:PHP . Javascript/MySql
提供韓國空運及海運的代購運輸服務,並擁有高效可靠的倉儲管理系統,為客戶打造快速便捷的服務。對於需要韓國商品的族群提供國際運輸服務,透過高效率的代購服務流程將商品快速送到客戶手上。
網頁設計.RWD響應式網站 / 教育人文類
網站技術:PHP . Javascript/MySql
青林是專門販售0~12歲以上各年齡書籍的線上書城,每本書籍都是精心挑選才會在網站上進行販售,確保孩子們可以安心閱讀與學習。 網站上會舉行線上書展或是特價活動,或是邀請畫冊、故事書作家來做分享新書。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策