情境示意圖,photo by Justin Morgan on unsplash
專門提供WordPress外掛程式安全服務的Patchstack,本周出版了WordPress安全狀態的年度報告,指出在2021年所發現的WordPress外掛程式重大安全漏洞中,有29%沒有被開發者修補,而且使用者可能渾然不覺。
開源的WordPress為全球最熱門的內容管理系統,去年全球大約有43.2%的網站採用WordPress建置,高於2020年的39.5%,這些WordPress網站使用了各式各樣的外掛程式來改善網站功能或呈現,也讓專門強化WordPress外掛程式安全性的資安公司應運而生,如Wordfence或Patchstack。根據Patchstack去年的分析,每個WordPress網站平均採用了18個不同的外掛程式或主題。
Patchstack的調查顯示,2020年在有關WordPress的安全漏洞中,3.78%出現在WordPress核心,卻有96.22%現身於外掛程式及主題,但到了2021年,外掛程式及主題的漏洞卻增加到99.42%,主題占了6.61%,外掛程式則是92.81%,WordPress核心漏洞降至0.58%。
圖片來源/Patchstack
這些漏洞以跨站指令碼(Cross Site Scripting,XSS)為首,總計占了49.82%,居次的是跨站請求偽造(CSRF)的11.18%,僅有0.94%屬於遠端程式攻擊漏洞。值得注意的是,在所有的WordPress網站中,有42%都安裝了至少1個含有安全漏洞的元件。
圖片來源/Patchstack
此外,在所有的漏洞中,有3.41%被列為重大等級,CVSS風險評分超過9,去年總計有35個WordPress外掛程式漏洞被列為重大等級,其中一個藏匿在All in One SEO plugin中,該外掛程式的安裝數量超過300萬,另一個出現在WP Fastest Cache plugin,安裝數量也超過100萬。
圖片來源/Patchstack
儘管上述兩個外掛程式開發者都已修補了漏洞,但也有高達29%的外掛程式重大漏洞並沒有被修補。Patchstack說,這些未修補的外掛程式有時只是簡單被WordPress、其它市集或開發者下架,並沒有警告既有的用戶,代表使用者必須手動檢查這些外掛程式的版本別或安全狀態,再加以移除或選擇其它的替代程式。
Patchstack的調查還曝露出另外一個問題,亦即儘管WordPress生態體系存在著許多安全漏洞,但WordPress網站並沒有太多的安全預算,例如有28%完全沒有安全預算,有27%每月的安全預算低於3美元,只有7%每月會編列50美元的安全預算。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 戶外旅遊類
網站技術:PHP/MySql
每個人旅遊方式百百種,有人喜愛快節奏、刺激;有人喜愛慢節奏、輕旅行。 樂晴可以為你設計一套獨一無二的套裝行程,針對不同的對象、目的都是可以安排的。不用擔心會玩的不開心,只怕會玩的太快樂!!
網頁設計.RWD響應式網站.行動版網站.企業形象網站 / 電子工業類
網站技術:PHP . Javascript
電線電纜的應用廣泛,像是居家、辦公室的線路配置都會使用的。比較重要的應用有消防系統、室內消防設備、火災警報系統...等等。 本公司官網主要是單純的產品介紹與業務說明,畫面排版與設計比較簡約,明亮。
精選專案.網頁設計.RWD響應式網站 / 教育人文類
網站技術:PHP/MySql
國語日報的粉絲們,可以在網站進行報紙的訂購喔! 透過報紙獲取新知、了解國家大事。本網站提供會員在線上訂購報紙,會員登入後可以觀看購買紀錄、訂單,可以利用ㄅ幣進行結帳。當然ㄅ幣需要先完成訂單才會有喔!
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策