根据安全行业开发商Imperva在2018年进行的一项调查,虽然WordPress是最常被黑客锁定的内容管理系统(内容管理系统),但全球WordPress网站漏洞高达98%与插件相关, WordPress核心仅涉及2% 。
在全球网站中,28%是使用WordPress构建的。如果您计算一个基于CMS的全球网站,WordPress的市场份额为59%。
拥有最高市场份额的平台自然成为黑客的头号目标。与Joomla和Drupal排名第二和第三,WordPress去年有542个安全漏洞,Joomla不到200个,而Drupal只有100个。
根据Imperva的研究,WordPress站点中高达98%的漏洞来自用于扩展站点功能的插件。根据WordPress官方网站的统计,支持WordPress的插件数量接近55,000。基于开源的WordPress允许任何人创建和发布插件,并且只使用最低安全标准,因此存在漏洞。
最近的一个例子是在线客户服务程序WP Live Chat Support,它允许WordPress网站实时与访问者通信,并且可以在客户发送消息之前查看消息的内容。它还具有共享文件或图像的能力。据估计,至少有6 10,000个LivePress站点安装了WP Live Chat支持。
但是,Sucuri防火墙团队首先在WP中发现WP Live Chat支持有一个驻留的跨站点脚本漏洞。 Alert Logic研究小组于5月初透露,WP Live Chat支持团队去年5月发布了8.0.11,并且应该已经完成了对CVE-2018-12426漏洞的修补,但它并没有真正解决问题,并且黑客仍然可以上传它。恶意文件到用户的电脑。
令人费解的是,WP Live Chat支持在5月15日发布了最新的8.0.27以修复相关漏洞,但是WordPress于5月17日关闭了WP Live Chat支持的下载服务,无论WordPress或WP Live Chat支持团队做了什么没有提供任何指示。无论如何,在使用fun88淘搜网开源平台或插件时,您应该记得仔细选择具有良好评论的开发人员。
转载于:https://my.oschina.net/u/3899617/blog/3051833