閱讀 2021 年 WordPress 漏洞年度報告
已發表: 2022-01-27作為 WordPress 用戶或開發人員,您已經知道您面臨的最大挑戰之一是完全保護您的網站免受漏洞和惡意攻擊的威脅。
在一個網站和在線安全不斷受到攻擊的不確定世界中,所有 WordPress 網站所有者都需要比過去更認真地對待他們的安全協議。
剛剛在我們的第一份 2021 年 WordPress 漏洞報告中發布的數據不僅向您展示了 2021 年全年報告的 WordPress 漏洞,還揭示了黑客最常利用的特定漏洞。
例如,您是否知道 2021 年 WordPress 漏洞總數中有 97.1% 是由插件引起的? 了解運行安全的 WordPress 網站是否對您很重要,這一點很重要。
在 iThemes,我們不想僅僅指出問題。 我們還希望為您提供經過驗證的解決方案,以確保您的 WordPress 網站完全不受漏洞影響。 在查看這些數據後,您將確切了解如何完全保護您的 WordPress 網站。
2021 年最大的收穫:密切關注您的 WordPress 插件
2021 年,去年披露的所有 WordPress 漏洞中,足足有 97.1% 是由於插件問題造成的。 你沒看錯。
2021 漏洞來源
| 漏洞來源 | 報告數量 | 佔總數的百分比 (1,628) |
|---|---|---|
| WordPress 核心 | 8 | 0.05% |
| 插件 | 1581 | 97.1% |
| 主題 | 39 | 2.4% |
但最令人擔憂的是,在 2021 年報告的 1581 個插件漏洞中,有 23.2% 的漏洞沒有已知的修復。 這意味著,隨著我們進入 2022 年及以後,我們需要對我們下載和使用的插件更加警惕。
例如,雖然您可以從不知名的插件開發者那裡獲得免費的插件解決方案,但您是否完全相信它的安全性? 如數據所示,報告的插件漏洞中有 29% 尚未由其開發人員修補。
披露時的插件狀態
| 威脅級別 | 報告數量 | 佔總數的百分比 (1,628) |
|---|---|---|
| 已修補 | 1156 | 71% |
| 未知修復 | 377 | 23.2% |
| 插件關閉 | 95 | 5.8% |
只要有可能,請堅持使用您信任的插件開發人員,並且永遠不要使用無效的 WordPress 插件和主題。 而且,當然,無論何時發布,都要使用可用的補丁更新您的插件和主題。
但即使你這樣做了,在插件開發人員可以創建補丁來修復它們之前,熟練的黑客和惡意攻擊者仍然會利用漏洞。
這正是您的 WordPress 網站需要堅如磐石的安全保護的原因,我們稍後會討論。
現在,重要的是要知道 iThemes Security Pro 插件有一個內置的站點掃描器,它與版本管理功能配對以自動掃描已知漏洞並自動更新任何易受攻擊的插件,因此您不必擔心太多關於您的網站安全。
2021 年 9 月報告的漏洞數量大幅上升
九月是與眾不同的月份。 事實上,9 月份報告的漏洞總數佔漏洞總數的 20.5%,即 335 個。 從角度來看,漏洞數量第二多的月份是 10 月,報告了 173 個。 七月緊隨其後,出現了 157 次。
按月劃分的每個插件/主題/核心的漏洞(2021 年)
| 月 | 插件 | 主題 | 核 |
|---|---|---|---|
| 一月 | 19 | 0 | 0 |
| 二月 | 42 | 2 | 0 |
| 行進 | 58 | 1 | 0 |
| 四月 | 67 | 1 | 2 |
| 可能 | 37 | 5 | 2 |
| 六月 | 80 | 7 | 0 |
| 七月 | 157 | 7 | 0 |
| 八月 | 149 | 0 | 0 |
| 九月 | 335 | 3 | 1 |
| 十月 | 173 | 1 | 0 |
| 十一月 | 120 | 0 | 0 |
| 十二月 | 45 | 0 | 0 |
雖然當然不可能知道隨著我們進一步進入 2022 年是否會出現類似的模式,但這無疑是值得我們關注的重要數據。
按月按威脅級別劃分的漏洞(2021 年)
| 月 | 危急 | 高的 | 中等的 | 低的 |
|---|---|---|---|---|
| 一月 | 5 | 3 | 11 | 1 |
| 二月 | 25 | 10 | 0 | 21 |
| 行進 | 16 | 19 | 35 | 0 |
| 四月 | 25 | 27 | 37 | 1 |
| 可能 | 4 | 18 | 32 | 3 |
| 六月 | 7 | 18 | 64 | 1 |
| 七月 | 8 | 65 | 120 | 9 |
| 八月 | 11 | 135 | 56 | 37 |
| 九月 | 19 | 174 | 156 | 38 |
| 十月 | 8 | 73 | 75 | 62 |
| 十一月 | 9 | 46 | 53 | 22 |
| 十二月 | 0 | 30 | 18 | 9 |
跨站腳本作為最常見的插件漏洞
跨站點腳本 (XSS) 是一種網站安全漏洞,存在於許多 WordPress 應用程序中,例如插件和主題。
這些 XSS 攻擊使攻擊者能夠將客戶端腳本注入到其他用戶查看的 WordPress 網頁中。 攻擊者可能會使用跨站點腳本漏洞繞過訪問控制,並完全訪問您網站的後端。
2021 年在 WordPress 網站上執行的跨站腳本攻擊佔所有 WordPress 漏洞的 54.4%。 總共有 885 個漏洞。
| 威脅級別 | 報告數量 | 佔總數的百分比 (1,628) |
|---|---|---|
| 跨站腳本 (CSS) | 885 | 54.4% |
| 跨站點偽造請求 (CSFR) | 167 | 10.2% |
| SQL 注入 | 152 | 9.3% |
| 繞過 | 68 | 4.2% |
| RCE 漏洞 | 20 | 1.2% |
| PHP 漏洞 | 19 | 1.2% |
| 變量披露 | 19 | 1.2% |
| REST API | 11 | 0.7% |
| 敏感信息披露 | 6 | 0.4% |
| 所有其他人 | 281 | 17.3% |
如您所見,跨站點腳本是所有 WordPress 網站所有者的主要安全問題。 但漏洞問題並沒有就此結束。
另外 10.2% 或 167 個漏洞來自跨站點偽造請求 (CSFR)。
跨站點請求偽造,也稱為一鍵式攻擊或會話騎乘,是一種對網站的惡意利用,其中 Web 應用程序信任的用戶提交未經授權的命令。
很快就會發現,如果沒有適當的 WordPress 安全協議,您的 WordPress 網站就會對各種跨站點攻擊敞開大門。
但這些並不是您應該關注的唯一類型的漏洞。 除此之外,2021 年還報告了七種不同類型的漏洞。
並且不要忽視報告中標記為“其他”的 281 個(即 17.3%)漏洞。
通常,這些類型的攻擊是主題和插件開發人員尚未理解的攻擊,需要強大的 WordPress 安全插件來防止它們破壞或入侵您的網站。
2021 年的漏洞威脅級別
| 威脅級別 | 報告數量 | 佔總數的百分比 (1,628) |
|---|---|---|
| 危急 | 137 | 8.4% |
| 高的 | 630 | 38.7% |
| 中等的 | 678 | 41.6% |
| 低的 | 183 | 11.2% |
WordPress 核心和主題漏洞
作為 WordPress 網站所有者,您可能已經知道隨時更新插件以避免潛在攻擊的重要性。
畢竟,絕大多數漏洞都是通過插件來利用的。
但是,正如 2021 年的數字所示,插件不是您的安全協議開始和結束的地方。 即使您對使用的插件保持 100% 的警惕並保持更新,您的網站仍然可能被主題中的漏洞利用。
它也可以通過核心 WordPress 軟件加以利用。 去年,我們發現共有 47 個漏洞通過 WordPress 核心和各種主題被利用。 該數字約佔 2021 年所有 WordPress 安全漏洞的 2.5%。
雖然這可能看起來不多,但只需要一個被利用的網站漏洞就可以完全破壞您的網站和業務的聲譽。
當然,第一個解決方案是始終保持 WordPress 核心和您的主題完全修補和更新。 但正如我們關於插件所說,這只有助於解決過去已知的漏洞。
對於新的,您需要運行知道如何實時檢測惡意攻擊何時發生的安全軟件。
確保將網站安全作為 2022 年的重點
這是 iThemes Security Pro 插件介入的地方,以幫助確保您的 WordPress 網站安全。 借助我們易於使用、直接的 WordPress 安全解決方案,您可以立即在晚上睡得更好,因為您知道您的網站完全免受黑客和惡意攻擊。
第一步是了解您的站點不斷受到的安全威脅的轟炸。 之後,是時候獲取 iThemes Security Pro 並認真對待您的 WordPress 網站安全協議了。
借助內置的 WordPress 站點掃描程序來掃描已知的 WordPress 漏洞,並為您的登錄頁面提供層層保護,例如暴力保護,以及文件更改檢測和用戶日誌記錄,您的站點可以強大的防禦黑客和安全漏洞的能力.
最好的 WordPress 安全插件安全的& 保護WordPress
自 2014 年以來由 WordPress 安全專家構建
WordPress 目前為超過 40% 的網站提供支持,因此它已成為惡意黑客的輕鬆目標。 iThemes Security Pro 消除了 WordPress 安全性中的猜測,從而輕鬆保護和保護您的 WordPress 網站。
