在 WordPress 安全领域,一项由 Patchstack 发布的《WordPress安全状态白皮书》揭示了一个令人担忧的趋势——2023年 XSS 漏洞激增,特别是高危及关键性漏洞的急剧增加。这对于依赖 WordPress 构建网站的用户而言,无疑敲响了加强安全保障的警钟。
XSS漏洞:2023年的头号威胁
据统计,跨站脚本(XSS)漏洞在新发现的 WordPress 安全漏洞中占比高达53.3%,成为最为普遍的安全隐患。
这类漏洞通常源于对用户输入数据“净化”不足,即未能有效阻止不符合预期格式的数据输入。其中,Freemius 框架——一个第三方管理的电子商务平台,成为了众矢之的。该框架涉及超过1,200个XSS漏洞,占全年新发现XSS漏洞的21%。
Freemius SDK 被广泛应用于超过1,200个插件中,这些插件又安装在超过700万个 WordPress 站点上,凸显了供应链安全问题的严峻性。一旦Freemius框架存在漏洞,受影响的就不仅仅是单一插件,而是波及所有使用该框架的插件及其用户,形成了连锁反应。
高危漏洞比例飙升
2023年,情况尤为严峻。新发现的漏洞中,有42.9%被评定为高或关键级别,相较于2022年的13%,这一数字的激增揭示了这一年漏洞的破坏力显著增强。这意味着网站管理者面临的不仅是数量上的挑战,更是质量上的威胁。
无需认证的漏洞占比过半
更令人担忧的是,58.9%的新漏洞无需任何认证即可被利用,意味着攻击者无需获得网站的任何访问权限就能轻易发起攻击。
这种无门槛的攻击模式,使得自动化的攻击手段如恶意机器人能够轻松探测并利用这些漏洞,大大增加了网站被黑的风险。
受影响的部分主流插件清单
- Essential Addons for Elementor(100万+安装量,严重性评级9.8)
- WP Fastest Cache(100万+安装量,严重性评级9.3)
- Gravity Forms(94万安装量,严重性评级8.3)
- Fusion Builder(90万安装量,严重性评级8.5)
- Flatsome(主题)(61.8万安装量,严重性评级8.3)
- WP Statistics(60万安装量,严重性评级9.9)
- Forminator(40万安装量,严重性评级9.8)
- WPvivid Backup and Migration(30万安装量,严重性评级8.8)
- JetElements For Elementor(30万安装量,严重性评级8.2)
注:以上插件的最新版本均已修复已发现的漏洞,如果使用的是旧版本,建议立即升级版本。
应对策略与反思
面对日益严峻的安全挑战,所有 WordPress 网站的管理者/站长,都必须提升安全意识,定期检查插件和主题,确保它们及时更新并得到维护。
安全问题直接影响到搜索引擎排名,一旦网站被黑客入侵,可能会被搜索引擎从搜索结果中移除,因此,基本的安全检查不应被忽视。
造成漏洞的另一个重要原因是大量废弃的插件。WordPress 生态非常庞大,很多的开发者为其开发各种各样功能的插件,但有一部分插件已经被开发者废弃或长时间未迭代更新版本,这类插件是很大的安全隐患。
对于使用 WordPress 这样的开源软件而言,所有站长都应明白保持 WordPress 更新的重要性。