7 个最近存在漏洞问题的 WordPress 插件

据WPScan称,插件漏洞占所有 WordPress 漏洞的 90%。这使得插件成为攻击者破坏 WordPress 网站的最常见入口点。

他们也在增加。根据Risk Based Security 的数据,WordPress 插件漏洞在 2021 年增长了 142%。
了解可能暴露您网站的任何最新插件漏洞比以往任何时候都更加重要。这样,您可以立即更新它们或卸载并删除插件,直到发布安全补丁。这样做可以防止黑客发现和利用漏洞来访问您的站点。
为了提供帮助,我们编制了一份在过去十二个月内披露漏洞的插件列表。让我们看看下面,然后讨论 2021 年的一些收获以及未来处理插件漏洞的最佳实践。

易受攻击的 WordPress 插件

1.WooCommerce
2.Gutenberg Template Library & Redux Framework
3.SEOPress
4.WordPress Popular Posts
5.Smash Balloon Social Post Feed
6.PublishPress Capabilities
7.Variation Swatches for WooCommerce

在我们深入研究每个插件及其最近的漏洞之前,重要的是要注意大多数插件漏洞并不表示插件本身缺乏质量或可靠性。更常见的是,他们反映了插件的受欢迎程度以及整个 WordPress 的受欢迎程度,这使其成为黑客的一个有吸引力的目标。
现在让我们来看看最近有漏洞的插件(已经发布了安全补丁)。

1.WooCommerce

活跃安装量: 5+ 百万

20.5% 的 WordPress 网站使用WooCommerce,它是最受欢迎的电子商务 WordPress 插件。2021 年 7 月,WooCommerce 发现了一个经过身份验证的 SQL 注入漏洞,允许未经身份验证的攻击者访问在线商店数据库中的任意数据,并立即发布了紧急补丁。
除了运行最新版本的 WooCommerce(当时为 5.5.2)之外,WooCommerce 团队还建议更新所有管理员用户的密码,并轮换使用的任何支付网关和 WooCommerce API 密钥。
要了解有关 SQL 注入的更多信息,请查看您应该了解的 13 个 WordPress 安全问题和漏洞。

2.Gutenberg Template Library & Redux Framework

活跃安装: 1+ 百万

Gutenberg Template Library & Redux Framework 是一个流行的免费插件,它使用户能够访问 100 多个块和块模板,并使用 Gutenberg 编辑器将它们添加到他们的站点。
2021 年 8 月,Wordfence 威胁情报团队披露了两个错误授权漏洞。一个允许贡献者和其他权限较低的用户安装和激活任意插件并通过 REST API 删除任何帖子或页面。另一个漏洞允许未经身份验证的攻击者访问有关站点配置的潜在敏感信息。该插件的补丁版本 (4.2.13) 在发现漏洞后大约一周发布。

3.SEOPress

活跃安装: 200,000+

SEOPress 是一个一体化的 SEO 解决方案,用于构建自定义 HTML 和 XML 站点地图、创建面包屑、添加模式和 Google 结构化数据类型以及管理 301 重定向等功能。
2021 年 7 月底,Wordfence 威胁情报团队披露了一个存储的跨站点脚本漏洞,该漏洞使攻击者有可能在易受攻击的站点上注入任意 Web 脚本,该脚本会在用户访问“所有帖子”页面时随时执行. 包含安全补丁的插件更新版本(5.0.4 版)在几天后迅速发布。

4.WordPress Popular Posts

活跃安装: 200,000+

WordPress Popular Posts 是一个免费插件,它添加了一个高度可定制的小部件,用于在您的 WordPress 安装中显示您最受欢迎的帖子。
2021 年 6 月,NinTechNet 发现了一个远程代码执行漏洞,具有贡献者角色或更高级别权限的攻击者可以将任意 PHP 脚本代码下载并执行到服务器。插件作者很快打了补丁,发布了新版本(5.3.3)。

5.Smash Balloon Social Post Feed

活跃安装: 200,000+

Smash Balloon Social Post Feed 是一个免费的 WordPress 插件,使用户能够在他们的 WordPress 网站上显示 Facebook 帖子和提要。
2021 年 10 月,Jetpack 发现了一个存储的跨站点脚本漏洞,该漏洞使任何拥有帐户的用户(如订阅者)都可以在受影响站点的每个帖子和页面上存储恶意脚本。然后,如果登录的管理员访问其中一个页面,脚本可以在他们的浏览器上运行并代表他们执行管理操作。插件作者在一周内发布了更新版本(4.0.1)。

6.PublishPress Capabilities

活跃安装: 100,000+

PublishPress Capabilities 是一个免费的 WordPress 插件,专为自定义用户角色和权限而设计。
2021 年 12 月,Wordfence 威胁情报团队发现了一个未经身份验证的任意选项更新漏洞,该漏洞影响了四个插件,包括 PublishPress Capabilities 和多个主题。这场大规模的攻击活动包括针对超过 160 万个站点的 1370 万次攻击。
每个插件和主题都迅速发布了安全补丁。但是 PublishPress Capabilities 采取了额外的安全措施。在漏洞被报告后的几天内,该团队对所有安装了 2.0.0 和 2.3.0 版本插件的网站进行了紧急更新。

7.Variation Swatches for WooCommerce

活跃安装: 80,000+

WooCommerce 的变体色板允许用户在其 WooCommerce 产品页面上将产品的不同颜色或样式显示为色板、文本、标签或图像——而不是默认的下拉菜单。
2021 年 11 月,Wordfence 威胁情报团队披露了一个存储跨站点脚本漏洞,该漏洞允许具有低级别权限的用户(例如订阅者或客户)注入恶意 JavaScript,当站点管理员访问插件设置时该脚本将执行. 在两周内,发布了插件的补丁版本 (2.1.2)。

我们对 2021 年 WordPress 插件漏洞的了解

上述 WordPress 插件漏洞只是 2021 年发现的数千个漏洞中的几个例子。通过报告、分析和修补这些漏洞,安全研究人员和插件开发人员获得了一些有价值的见解。以下是一些重要的要点:

1.跨站脚本漏洞占2021年上半年插件漏洞的52%。(Wordfence)

跨站点脚本 (XSS) 是一种网络攻击,在这种攻击中,用户将恶意代码注入原本合法且值得信赖的网站,以便在其他用户的 Web 浏览器中执行该代码。结果可能是攻击者获得了对用户数据的访问权限,或者可能能够伪装成合法用户以便在网站中执行某些操作,例如安装插件或删除帖子。
XSS 是 2021 年迄今为止最常发现的影响 WordPress 插件的漏洞。下一个最常发现的漏洞——跨站请求伪造 (CSRF)——仅占插件漏洞的 16%。

2. 2021 年披露了 2,240 个 WordPress 插件漏洞,比 2020 年增加了 142%。(基于风险的安全)

WordPress 插件漏洞在 2021 年翻了一番以上——但这并不一定表明 WordPress 插件随着时间的推移变得更加脆弱。相反,这表明越来越多的人发现并报告了更多的插件漏洞。这可能是多种因素共同作用的结果,包括 WordPress 和网络安全的持续市场增长。
报告漏洞的增加确实强化了保持插件更新的重要性。

3. WordPress 插件漏洞的平均 CVSS 评分为 5.5,属于中等严重程度。(基于风险的安全)

通用漏洞评分系统 (CVSS)是 由美国国家标准与技术研究院创建的一个开放框架,用于传达软件漏洞的特征和严重性。它可用于计算在产品或系统中发现的漏洞的严重性,并根据漏洞被利用的可能性和对组织的潜在影响来决定首先修复哪些漏洞。
好消息是,虽然在过去十年中披露的插件漏洞数量急剧增加,但 CVSS 评分却保持相对不变。根据 CVSS v2.0,他们的平均 CVSS 分数是中等严重性等级。

2022 年如何保护您的网站免受 WordPress 插件漏洞的侵害

展望未来,您必须采取措施保护您的 WordPress 网站免受插件漏洞和其他威胁。以下是一些最佳实践:

  • 只安装在过去六个月内更新过的插件。
  • 最新版本可用后立即更新插件。
  • 删除并卸载任何未发布安全补丁的易受攻击的插件。
  • 删除任何废弃的插件(即过去两年未更新的插件)。
  • 避免无效插件 (即经过修改并免费或以较低成本提供的高级 WordPress 插件的副本)。

要更深入地了解这些和其他最佳实践,请查看保护您的 WordPress 网站的 20 个步骤。

易受攻击插件的现实

虽然您无法完全避免易受攻击的 WordPress 插件,但您可以遵循安全措施来限制您网站的曝光率。只安装最近六个月内更新过的插件,保持更新,如果被遗弃或有未修补的漏洞则删除。

Newsletter Updates

Enter your email address below and subscribe to our newsletter

留下评论

您的电子邮箱地址不会被公开。 必填项已用*标注