2022 年 WordPress 漏洞年度报告

已发表: 2023-02-01

WordPress 核心是可靠的——您在其中安装的内容可能不是。

WordPress 的安全性如何? 在针对北美一半以上中小型企业 (SMB) 的全球网络攻击和复杂网络犯罪稳步增加的背景下,WordPress 在全球 CMS 市场中占主导地位的份额 (60%+) 为黑客和网络犯罪分子提供了巨大的攻击面其工具现在包括人工智能和机器学习。 每年 WordPress 生态系统中新漏洞的数量都会增加,2022 年也不例外。 这次我们从数据中学到了什么?

什么算作漏洞?

首先,了解如何评估软件漏洞很重要。

漏洞不是漏洞利用。 它们在理论上是可利用的攻击面,但如果没有积极的利用或有效的概念证明,通常不清楚它们是否代表重大风险。 安全分析师经常使用通用漏洞评分系统 (CVSS) 以 0-10 的等级对漏洞进行评级,以表明其严重性。 这些分数在整个科技行业各不相同,因为特定漏洞的潜在影响无法一概而论。 漏洞对特定系统、服务或产品的潜在影响或多或少是严重的。 我们遵循与 WordPress 平台和生态系统一致的 WPScan 评分。

我们还使用 WPScan 的漏洞跟踪和风险评估来生成我们的每周漏洞报告。 2022 年,WPScan 数据库记录了 23 个 WordPress 核心漏洞。 其他安全分析师可能对什么算作漏洞有更广泛或更狭隘的看法。

例如,Patchstack 的 WordPress 漏洞数据库包括 2022 年的 27 个核心漏洞,他们已经验证了 15 个是可利用的。 相比之下,只有 9 个核心漏洞被报告给 MITRE 并记录在国家漏洞数据库中,并具有通用漏洞和暴露 (CVE) 标识符。 CVE 的详细信息,例如其严重性等级,可以随着时间的推移进行修改。 CVE 甚至可以取消。 不同寻常的是,另一个核心 WordPress CVE 在 2022 年被拒绝为误报。

2022 年 WordPress 漏洞趋势

2% 的插件存在 99% 的漏洞。
每周,20-50 个插件和主题中都会出现漏洞。
每个月,平均有 121 个插件和主题公布了一个漏洞。
与 2021 年相比,漏洞的严重程度显着下降。
26% 的插件和主题漏洞在披露时尚未修补。
XSS 漏洞最为普遍,其次是 CSFR 和 SQLi。
XSS、CSFR 和 SQLi 漏洞占所有漏洞的 73%。

WordPress 核心安全性是可靠的。

幸运的是,2022 年在 WordPress 核心中发现的漏洞被 WordPress 安全团队成员和其他积极寻找漏洞的研究人员发现并迅速修复。 他们的不懈努力导致 2022 年发布了四个 WordPress 安全版本,修复了 20-30 个潜在漏洞,具体取决于它们的分类方式。 WordPress 6.0.3 安全版本一次性修补了其中的 16 个。

仔细选择插件和主题——并保持更新!

在这些潜在漏洞中,没有一个会对 WordPress 用户构成直接风险。 12 月中旬安全研究人员公布了 WordPress 的 pingback 功能的一个已知问题时,核心中仍然存在一个未修补的漏洞也是如此。 补丁程序可能正在为未来的安全或维护版本工作,但没有立即引起关注的原因。 要被利用,还必须利用第二个漏洞,并且目标站点的 DNS 服务(通常是主机或域名注册商)也需要受到损害。 这种罕见和极端的情况本身就非常具有破坏性。

我们现在提供了有关通过关闭 XML-RPC 消除此漏洞的更多详细信息和指导。 如果您不使用它,这总是一个好主意。

2% 的 WordPress 插件造成了 99% 的漏洞。

在我们此处提供的 2022 年漏洞数据中,23 个核心漏洞占我们在 2022 年跟踪的漏洞总数 (1,779) 的 1%。这意味着插件和主题占所有漏洞的 99% (1,756)。 这与我们去年追踪到 1,628 个漏洞的情况一致,其中 98% 与插件有关。

在典型的一周内,30-40 个单独的插件和主题至少发现一个漏洞面。

然而,这并不完全是坏事。 事实上,我们不希望在核心或主题中看到明显更多的漏洞。 插件是 WordPress 生态系统中最大和最具吸引力的攻击面,但其中绝大多数与任何特定年份公开披露的漏洞无关。

就上下文而言,2022 年每周遇到漏洞的单个插件和主题的数量 (1,425) 约占 wordpress.org 上可用的 70,000 多个总库的 2%。 当然,并不是所有的 WordPress 插件和主题都托管在那里,但绝大多数都是。 在整个 WordPress 附加组件中,我们可以说不到 2% 的附加组件引入了 2022 年跟踪到的 99% 的漏洞。

展望未来,由于 WordPress 安全、性能和核心团队的工作,我们希望看到这一统计数据有所下降。 帮助插件开发人员和插件审查团队提高标准并使用插件检查器评估插件的提议特别有前途。

所有漏洞的来源

漏洞来源报告数量占总数的百分比 (1,779)
WordPress 核心23 1.29%
主题97 5.45%
插件1,659 93.25%
资料来源:WPScan

在任何给定的一周,20 到 50 个单独的插件和主题在 2022 年至少经历了一个漏洞。我们发现每月平均有 121 个单独的插件和主题出现至少一个漏洞。

为了更容易看到趋势,我们从表格和图表中删除了 2022 年 3 月第一周的一个离群事件:Freemius SDK 框架漏洞。 这可以算作插件依赖项中的一个漏洞——或者算作 400 多个插件和 25 个主题都包含易受攻击的 Freemius 代码。

具有一个或多个漏洞的插件和主题,逐月

插件主题全部的
一月116 0 116
二月109 41 150
行进114 0 114
四月101 1个102
可能129 3个132
六月125 0 125
七月82 3个85
八月122 2个124
九月88 1个89
十月65 2个67
十一月161 6个167
十二月149 5个154
全部的1,361人64 1,425
平均的113 5个121
资料来源:WPScan

到 2022 年,我们跟踪的所有漏洞中有 70% 的风险评级为中低风险。 只有 4% 被评为关键。 您还可以从另一个方向来看:75% 的漏洞被评为中高严重性——这很重要。 但是,与 2021 年相比,威胁级别也有显着下降。到 2022 年,我们看到从关键和高到中和低下调了 18 个百分点。 严重漏洞从 2021 年的 8% 下降到 4%,而低威胁漏洞从 2021 年的 11% 上升到 21%。

按威胁级别划分的所有漏洞,年复一年 (2021-2022)

批判的高的中等的低的
2022年74 (4%) 446 (25%) 894 (50%) 365 (21%)
2021年137 (8%) 630 (39%) 678 (42%) 183 (11%)

按威胁级别划分的所有漏洞,按月计算(2022 年)

批判的高的中等的低的全部的
一月10 50 73 14 147
二月14 33 108 14 169
行进5个111 27 16 159
四月6个51 40 23 120
可能4个22 87 42 155
六月5个12 107 27 182
七月2个14 55 36 107
八月4个28 96 30 158
九月8个7 72 24 111
十月3个13 44 18 90后
十一月7 26 107 59 199
十二月6个78 49 49 182
全部的74 (4%) 446 (25%) 894 (50%) 365 (21%)
平均的6个37 75 30
资料来源:WPScan

与去年的 337 个 (23%) 相比,2022 年有 456 个 (26%) 漏洞在公开披露时仍未修补。 当然,这不是我们想看到的。

披露时的插件漏洞状态 (2022)

地位报告数量占总数的百分比 (1,779)
修补1,231 69%
没有已知的修复456 26%
插件关闭92 5%
资料来源:WPScan

WordPress 核心是可靠的。 正是您向其中添加的内容以及您维护整个系统的方式可能使其容易受到安全威胁。 但是,如果您及时更新、适当地限制用户访问、添加多因素身份验证——并明智地选择您的插件——您的 WordPress 网站将从头到脚都是可靠的。

未打补丁的易受攻击的插件与未通过简单更新应用补丁的插件一样糟糕。 这些是最易受攻击的目标。 如果 2022 年的趋势继续下去,他们最有可能成为 XSS 和 CSRF 攻击的受害者,如果当前趋势继续下去的话。 这些攻击方法加起来占 2022 年出现的所有 WordPress 漏洞的 65% 以上。

值得注意的是,CSFR 攻击增加了 5%,这与 WordPress 生态系统内外其他来源的报告一致。 作为暴力登录攻击的一个子集,凭据填充也越来越普遍,因为黑客会测试被盗的登录凭据。 在这种情况下,除了无法使用多因素身份验证之外没有任何漏洞——或者更好的是,无密码登录。

威胁媒介2021年2022年
跨站点脚本 (XSS) 885 (54.4%) 890 (50%)
跨站伪造请求 (CSFR) 167 (10.2%) 261 (14.7%)
SQL注入152 (9.3%) 142 (8%)
旁路68 (4.2%) 28 (1.6%)
RCE漏洞20 (1.2%) 23 (1.3%)
PHP漏洞19 (1.2%) 31 (1.7%)
变量披露19 (1.2%) 26 (1.5%)
敏感信息披露6 (0.4%) 16 (0.9%)
服务器端请求伪造 (SSRF) 0 (0%) 13 (0.7%)
休息API 11 (0.7%) 5 (0.3%)
所有其他人281 (17.3%) 344 (19.3%)
全部的1,628 1,779
资料来源:WPScan

负责任的披露是正确的做法——即使会造成伤害。

2022 年,我们的每周安全报告提醒人们注意几个流行的插件,包括我们自己的插件,这些插件的漏洞可能会影响大量网站。

  • 如上所述,超过 400 个使用 Freemius 框架的插件和主题受到单个漏洞的影响,但大多数都已修补或从 wordpress.org 存储库中删除。
  • 超过 500 万 Elementor 用户遇到了一个严重漏洞,该漏洞很快得到修复。
  • 另有 100 万 Ninja Forms 用户收到了来自 WordPress.org 的强制更新,这是安全团队由于漏洞的严重性而采取的不寻常步骤。
  • 最后,BackupBuddy 修补了一个高危漏洞并让所有用户都可以使用,即使他们的许可证已过期,更新的版本也会自动推送给我们的 Sync 用户。

发布这些信息很重要——一旦插件和主题开发人员修补了漏洞并准备好发布安全更新。 这一切都需要尽快发生,而且通常会发生——在专业的 WordPress 市场中,围绕安全等共同利益存在很多合作和伙伴关系。 作为最终用户,您的角色是应用更新、支持您拥有的任何可能受到影响的客户或客户——并宣传所有新版本——尤其是那些具有关键安全更新的版本。

跑——不要慢走——你的更新!

我们在本报告中的所有发现都重复了前几年的趋势,并强调了让您的 WordPress 网站保持最新状态的重要性。 要被利用,许多漏洞需要攻击者访问具有提升权限的 WordPress 用户帐户,但这表明需要加强您的用户身份验证安全性并定期审查您的用户。 始终应用最小特权原则——没有人需要拥有比必要更高的权限级别。

WordPress 核心是可靠的。 正是您向其中添加的内容以及您维护整个系统的方式可能使其容易受到安全威胁。 但是,如果您及时更新、适当地限制用户访问、添加多因素身份验证——并明智地选择您的插件——您的 WordPress 网站将从头到脚都是可靠的。

下载报告