意想不到!WordPress安全漏洞98%来自插件

最新推荐文章于 2024-04-28 11:25:26 发布
最新推荐文章于 2024-04-28 11:25:26 发布
阅读量154 收藏 1
点赞数
文章标签: php
原文链接:https://juejin.im/post/5ce252c6f265da1b855c276c
版权

资安业者Imperva在2018年所进行的调查显示,尽管WordPress是黑客最常锁定的内容管理平台(Content Management System),但全球的WordPress网站漏洞,却有高达98%与插件有关,只有2%涉及WordPress核心。在全球的网站中,有28%是以WordPress架设,若计算全球基于CMS的网站,WordPress的市占率更高达59%。

市占率最高的平台自然也成为黑客的头号攻击目标,与排名二、三的Joomla及Drupal相较,WordPress网站在去年出现542个安全漏洞,Joomla不到200个,Drupal则仅有100个。而Imperva的研究则显示,WordPress网站的漏洞有高达98%源自于用来扩充网站功能的插件。根据WordPress官网的统计,目前支持WordPress的插件数量接近5.5万个,基于开源码的WordPress允许任何人打造及出版插件,且仅采用最低的安全标准,因而漏洞丛生。最近的例子为在线客服程序WP Live Chat Support,它允许WordPress网站与造访者进行实时的在线交流,而且可在客户送出讯息前就看到讯息内容,亦具备档案或影像分享能力,估计至少有6万个WordPress网站安装了WP Live Chat Support。更多安全相关内容:sbf胜博票台 www.ktnetks.com.tw

不过,先是Sucuri Firewall团队在4月底发现WP Live Chat Support含有常驻的跨站脚本漏洞。Alert Logic研究团队继之于5月初,揭露WP Live Chat Support团队在去年5月释出的8.0.11,理应完成CVE‐2018‐12426漏洞的修补,但并没有真正地解决问题,黑客依然能够上传恶意档案到用户计算机。令人不解的是,WP Live Chat Support已在5月15日释出最新的8.0.27以修补相关漏洞,但WordPress却在5月17日关闭了WP Live Chat Support的下载服务,且不管是WordPress或WP Live Chat Support团队,都未提出任何的说明。不论如何,在使用开源的平台或插件时,应记得慎选风评良好的开发者。

weixin_33775572
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞wordpress插件from exploit-db
04-08
备份一下
Wordpress漏洞
热门推荐
Grey的博客
07-19 2万+
爆路径方法: 1.http://www.chouwazi.com/wp-admin/includes/admin.php   2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php   3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php   4...
2022强网杯web(部分)
羽的博客
08-01 4146
2022强网杯web
WordPress博客出现的绝对路径泄露漏洞及修复方法
09-28
主要介绍了WordPress出现的绝对路径泄露漏洞及修复方法,需要的朋友可以参考下
wp-plugin-vulnerabilities:WordPress插件漏洞的集合
05-16
wp-plugin漏洞 WordPress插件漏洞的标准化集合。 用于此目的的数据已从WordPress.org存储库中的“”插件中提取,并以标准的YAML格式存储。 这些开发人员已为此YAML提供了所有原始源数据,我们所做的只是从PHP源代码中提取数据并将其存储在YAML中。 YAML结构的密钥是WordPress.org插件的子标签,可用于使用插件的目录名称轻松地识别已安装的插件(不幸的是,由于WordPress.org插件的性质,这种方法并不总是可靠的)。 我们将尽一切努力使它保持最新状态并与插件版本保持一致。 标签是从插件导入数据的日期,并查看它是“最新”的,将其与该插件的“最新更新”日期发布进行比较。 我想与原始开发人员合作,为此创建一个标准的数据存储,所以我还是朝着前进的方向迈进了-这毕竟是开源项目的目的。 为了帮助这个项目,请随时发出拉取请求等,我将在适当的时候考虑
wordpress-ThemeREX-Addons-插件安全漏洞深度分析1
08-03
0x02 漏洞分析根据相关披露,漏洞应该存在于plugin.rest-api.php文件中我们首先来看一下\wp-content\plugins\trx_add
wordpress安全插件wordfence-7.10.3
08-26
wordfence,是一款wordpress插件,用于安全防护的神器,推荐使用。支持正版
wordpress WooCommerce Facebook 多像素插件
06-27
Facebook 像素插件 facebook pixel 插件,可以在后台添加多像素
wordpress 评论插件 wpDiscuz 任意文件上传漏洞分析1
08-03
前言1. 环境搭建后,手动安装 wpdiscuz 插件后,看到文章下增加评论模块环境分析2.phpstorm 导入 web 目录,点击图片按钮,上传一个 php
WordPress免签约支付宝充值积分插件 v1.3.1
10-08
一款可以实现在WP充值积分,购买VIP服务的插件,支持支付宝,免签约 安装方法 1.将ciphpdown目录上传到wp-content/plugins/目录 2.登录WordPress后台,找到插件-已安装插件-ciphpdown,启用 3.注册
WolrdPress漏洞复现
m0_47968686的博客
01-05 629
靶机Web Developer渗透 实验步骤和内容: 目的:获取靶机Web Developer 文件/root/flag.txt中flag。 基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP 服务;网站目录枚举(Dirb);发现数据包文件 “cap”;分析 “cap” 文件,找到网站管理后台账号密码;插件利用(有漏洞);利用漏洞获得服务器账号密码;SSH 远程登录服务器;tcpdump另类应用。 主机发现 使用nmap -s机 192.168.131.0/24扫
最新2018年6月份Wordpress通杀全版本漏洞 详情及利用方法
网站安全专家
06-30 1万+
2018年6月29日,wordpress爆出最新漏洞,该网站漏洞通杀所有wordpress版本,包括目前的wordpress 4.8.6 以及wordpress 4.9.6版本。可以删除网站上的任意文件,影响危害严重,甚至是致命的一个漏洞,如果被攻击者利用,后果将不堪设想。截止目前该漏洞还未有被修复,如果您在使用wordpress,请尽快将wp-includes文件夹下的post.php文件改名,...
WordPress网站漏洞利用及漏洞修复解决方案
02-24 752
2019年正月刚开始,WordPress最新版本存在远程代码注入获取SHELL漏洞,该网站漏洞影响的版本是wordpress5.0.0,漏洞的产生是因为image模块导致的,因为代码里可以进行获取目录权限,以及文件包含功能,...
登录框漏洞
Grey的博客
08-06 7127
继上次登陆框引起的血案这个文章之后,时隔一个月笔者又写了续集,呃……升华版。 0×00 文章内容结构图 0×01 信息泄露 利用泄露的信息可以大大增加我们的可测试点,从而增加我们的成功率。 1. HTML源代码 必看的肯定要属HTML源代码了,源代码里包含了下面所说的JS文件。HTML源代码会泄露很多信息,像程序员未删除的注释、敏感路径等都可能在HTML源代码中找的到,从来增加发现漏...
漏洞公告】WordPress全版本WPDBSQL注入漏洞
weixin_33728708的博客
11-02 360
2019独角兽企业重金招聘Python工程师标准>>> ...
wordpress4.7.0-4.7.1内容注入漏洞研究
zsd747289639的博客
07-17 3240
wordpress4.7.0-4.7.1内容注入漏洞研究一、获取user 1.影响:未授权获取发布过文章的其他用户的用户名、id 2.触发前提: wordpress配置REST API 3.影响版本:<= 4.7 4.漏洞说明: Get请求什么都不用做就可以避开wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php
supervisor 简单理解
最新发布
qq_42857358的博客
04-28 201
test.ini文件内容。
2024 XYCTF Web 方向 wp 全解
qq_39947980的博客
04-27 988
XYCTF 2024 Web 方向全解
PHP】sign加签方法示例
q8688的博客
04-25 409
【代码】【PHP】sign加签方法示例。
wordpress mysql CPU100%战胜
07-25
升级软件可以修复已知的性能问题和安全漏洞。 7. 服务器性能:如果您的服务器配置较低,可能无法处理高流量或复杂的数据库查询。考虑升级服务器或使用云托管服务来提供更好的性能。 这些方法可以帮助您解决...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值