许多关键的WordPress安全漏洞从未得到修补

WordPress 的插件，或者更具体地说是免费的 WordPress 插件，是真正的原始缺陷和漏洞汤，其中许多允许威胁参与者完全接管目标网站，其中许多 – 永远不会得到修补。

这是 Patchstack 的一份报告中的严峻结论，该公司为流行的网站构建器平台提供威胁情报和安全工具。

根据该报告，与上一年相比，与 WordPress 相关的漏洞数量在 2021 年增长了 150%。在这些漏洞中，只有 0.58% 存在于 WordPress 核心中，即实际的网站构建器。超过十分之九 (91.38%) 出现在免费插件中，8.62% 出现在商业插件中。

XSS 最流行的漏洞

在 WordPress 插件中发现的几乎三分之一 (29%) 的严重缺陷从未得到修补。好消息是，未打补丁的插件最终会从插件存储库中丢弃。该报告称，九个插件从未收到补丁，随后被删除。

去年，该公司发现了五个严重程度的漏洞，总共影响了 55 个 WordPress 主题。其中一个滥用文件上传功能，这是一个特别危险的发现。在这些插件中，Patchstack 发现了 35 个严重漏洞，其中两个存在于 400 万个网站中。

Patchstack 进一步发现，最流行的漏洞是跨站点脚本 (XSS)，其次是“混合”跨站点请求伪造、SQL 注入和任意文件上传。

WordPress 网站平均安装了 18 个组件，其中至少有一个包含一个危险的漏洞。报告称，与前一年平均安装的 23 个插件相比，这个数字有所下降。

在所有易受攻击的插件中，去年最受欢迎的目标是 OptinMonster、PublishPress Capabilities、Booster for WooCommerce 插件和 Image Hover Effects Ultimate 插件。

互联网上几乎一半 (43.2%) 的网站由 WordPress 提供支持。