统计数据突出了 WordPress 漏洞的最大来源

已发表: 2020-10-08

我们都知道每年都有大量的 WordPress 网站被黑客入侵。 是因为 WordPress 是一个不安全的系统吗? 这是一个全球性的 WordPress 问题,还是来自那些网站管理员的行为? 它是如何发生的,为什么会发生?

无论您是在 WordPress 上运行个人博客、商业网站还是电子商务网站,网站的安全性都应该是首要任务。 可能有很多原因会导致您网站的安全性受到威胁。 最常见的原因是密码弱、用户错误、软件过时和缺少安全更新。

在本文中,我们使用来自 WPScan 漏洞数据库的最新统计数据来突出哪些是最易受攻击的 WordPress 组件,并强调运行最新软件和安装必要的安全补丁的重要性。

您还可以找到一些关于 WordPress 漏洞的有趣统计数据和事实,以及一些建议。 让我们潜入水中。

表中的内容

  • 什么是 WPScan 漏洞数据库?
  • WordPress、插件和主题漏洞概述
    • 为什么有这么多 WordPress 核心漏洞?
    • WordPress 核心、插件和主题中的漏洞类型
    • WordPress核心漏洞统计
    • 最易受攻击的 10 个 WordPress 插件
    • 前 10 个最易受攻击的 WordPress 主题
  • 这些 WordPress 漏洞告诉我们什么?
  • 如何确保 WordPress 安全(安全最佳实践)

什么是 WPScan 漏洞数据库?

在深入研究统计数据之前,让我们解释一下我们从哪里得到这些数字。 所有数据均从 WPScan 漏洞数据库中检索,该数据库是 WPScan 数据文件的在线可浏览版本。

WPScan 是一个开源的自动化 WordPress 黑盒安全扫描器。 该扫描器使用这些数据来检测 WordPress 网站中已知的 WordPress 核心、插件和主题漏洞。

迄今为止,WPScan 漏洞数据库包含 21,755 个漏洞,其中 4,154 个是独特漏洞。

WordPress、插件和主题漏洞概述

根据 WPScan 漏洞数据库,他们记录的已知漏洞中约有 80% 位于 WordPress 核心软件中。 但关键在于——漏洞最多的版本都在 WordPress 3.X 中。

到目前为止,WPScan 漏洞数据库中有 17,467 个 WordPress 核心软件漏洞。 然后是 3,846 (17%) 个 WordPress 插件漏洞和 442 (3%) 个 WordPress 主题漏洞。

WPScan 漏洞数据库中的 WordPress 核心软件漏洞。

为什么有这么多 WordPress 核心漏洞?

由于 WordPress 版本众多,漏洞数据库中的 WordPress 核心漏洞数量被夸大了。 以下是为什么会发生这种情况的解释;

在 WordPress 版本 5.4.2 的一个组件中发现了一个跨站点脚本漏洞。 从 3.7 版开始,该组件已在 WordPress 中使用。 因此,所有以前发布的 WordPress 版本也容易受到攻击。

因此,在 WPScan 漏洞数据库中将有一个独特的漏洞,256 个漏洞!

所以 WordPress 核心本身并不是不安全的。 重要的是要指出 WordPress 核心已经走过了漫长的道路,它比以往任何时候都更好、更安全。

WordPress 核心、插件和主题中的漏洞类型

WordPress 核心、插件和主题中最流行的漏洞类型是跨站点脚本和 SQL 注入。

考虑到这两个漏洞自 OWASP 成立以来已被列入最常见 Web 安全问题的前 10 名列表中,这并不奇怪。

漏洞类型

WordPress核心漏洞统计

下图突出显示了前 10 个最易受攻击的 WordPress 核心版本,其中 3.7.1 和 3.8.1 版本领先,各有 92 个漏洞。 排在第二位的是 WordPress 3.9 版,有 91 个漏洞。

WordPress 的 10 大核心漏洞

但是,从那时起,WordPress 肯定变得更加安全。 让我们来看看最近 5 个版本的 WordPress 的漏洞数量。 如您所见,差异很大。

WordPress 最新版本中的漏洞概述

最易受攻击的 10 个 WordPress 插件

以下是关于 10 大最易受攻击的 WordPress 插件的一些事实:

NextGEN Gallery、NinjaForms 和 WooCommerce 各有 22 个漏洞。

十大最易受攻击的插件

我们很惊讶地看到 All In One WP Security & Firewall,这是 10 个最易受攻击的 WordPress 插件中的 WordPress 安全插件。 我并不是说这样的插件是防弹的。 尽管我希望安全人员编写的插件漏洞更少,或者至少不会进入前 10 名。

前 10 个最易受攻击的 WordPress 主题

下图突出显示了前 10 个最易受攻击的 WordPress 主题。 最高的一个名称下只有 5 个漏洞。

WordPress 中最易受攻击的 10 个主题

主题的漏洞往往比插件少得多,因为它们在功能方面做得更少。 例如,虽然大多数插件处理数据、用户输入和操作用户数据,但主题主要改变了 WordPress 网站的外观和感觉。

这些 WordPress 漏洞告诉我们什么?

人们喜欢 WordPress,因为有大量可用的插件和主题。 在撰写本文时,WordPress 存储库中有超过 57,000 个插件和 7,000 多个主题,还有数千个额外的高级主题分散在网络上。

虽然所有这些选项都非常适合让您的网站变得更好,但在将插件或主题安装到 WordPress 网站之前,您应该始终做一些研究。 虽然大多数 WordPress 开发人员在遵循代码标准并在已知安全问题后修补报告的安全问题方面做得很好,但仍然存在一些潜在问题:

  • 插件或主题不再维护,
  • 开发人员需要很长时间才能发布安全补丁或无响应,
  • 然而,插件或主题存在漏洞,因为没有太多关注漏洞未被检测到。

有关此主题的更多详细信息以及如何确定插件是否适合您的 WordPress 网站,请参阅如何根据您的要求选择最佳 WordPress 插件。

那么外卖是什么?

简而言之,让您的所有软件保持最新!

WordPress 是世界上最受欢迎的 CMS 之一,如果您遵循安全最佳实践并保持最新状态,您的网站不太可能遇到任何问题。

这些 WordPress 漏洞统计数据准确吗?

这些统计数据基于存储在 WPScan 漏洞数据库中的信息。 尽管它经常更新,但它绝不是完整的。

还有许多其他易受攻击的 WordPress 插件和主题未在此处列出。 但是,这让我们对 WordPress 漏洞的状态有了一个很好的了解。

提交已知的 WordPress 漏洞

WPScan 团队鼓励所有了解 WordPress 核心、插件或主题漏洞的人向他们提交详细信息。

在提交新漏洞之前,请在数据库中进行搜索以确保之前未提交过该问题。 这将确保我们拥有一个集中且可靠的信息来源。

如何确保 WordPress 安全(安全最佳实践)

现在我们已经涵盖了所有潜在的和已知的漏洞,让我们来看看保护您的网站的不同方法。

首先是定期更新您的 WordPress 版本。 您绝对应该养成更新 WordPress 版本的习惯,并且不要忘记更新您的插件和主题。

为了保护您的 WordPress 网站,您可以执行以下一些附加操作:

  • 避免使用通用密码

当您拥有强密码时,可以避免或至少延迟任何黑客攻击。

  • 设置双重身份验证登录

任何想要登录您的 WordPress 网站的人都必须再执行一步才能访问您的帐户。

  • 不要使用无效的插件和主题

它吸引了几乎所有人,但是这些免费的高级插件和主题副本往往会加载恶意软件。 通过购买高级版来支持您使用的插件的开发人员。 它有助于进一步开发产品、添加新功能并确保产品安全。

  • 使用 WordPress 安全插件

如今,创建了各种各样的安全插件来保护您的网站免受各种攻击。 最好的会定期更新,这使得它们能够检测到任何黑客攻击以及对代码的任何添加。 我们开发了许多 WordPress 安全和站点管理插件。 去看一下!

总结

保护您的网站非常重要。 清楚地了解威胁以及可用于处理潜在攻击的工具至关重要。 您的首要任务应该是拥有并维护一个安全的网站。

由于其受欢迎程度,WordPress 成为黑客的一大目标。 这就是为什么您必须加倍努力以确保您网站的安全。 一个安全的网站肯定会在您的潜在客户中嵌入信任,从而有助于您的业务发展。

保护您的网站,并保持安全!