最新公告
  • 欢迎您光临IO源码网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • Patchstack白皮书:2020年超过96%WordPress安全问题来自第三方扩展

    最近由WebARX重命名的Patchstack发布了2020年安全白皮书。该报告确定了总共582个安全漏洞。但是,只有22个问题来自WordPress本身。第三方插件和主题占剩余的96.22%。

    WordPress安全问题

    “这些都是Patchstack内部研究团队,Patchstack Red Team社区,第三方安全供应商以及其他独立安全研究人员所披露的所有安全问题,” Patchstack创始人兼首席执行官Oliver Sild说。“因此,它包括有关漏洞的所有公共信息。”

    Patchstack是一家安全公司,专注于WordPress的第三方扩展。它的漏洞数据库是公开的,任何人都可以查看。

    2020年第二季度,Patchstack对近400名Web开发人员,自由职业者和代理商进行了有关Web安全性的调查。白皮书说:“超过70%的人回答说,他们越来越担心自己的网站的安全性,首要原因是’第三方插件的漏洞’。” “大约有45%的受访者发现对其所管理的网站的攻击有所增加,而25%的受访者在参与调查的前一个月内必须处理被黑的网站。”

    在漏洞排名中,排名最高的是跨站点脚本(XSS)问题,占总数的36.2%。

    “ WordPress插件中的XSS几乎总是发生,因为用户输入的数据被直接打印到屏幕上而没有任何清理,” Sild说。”esc_html用于将某些字符转换为它们的HTML实体,因此它将按字面意义打印在屏幕上。然后,还有esc_attr用于用户输入的变量,需要在HTML属性中使用。OWASP(开放Web应用程序安全性项目)发布了许多很好的资源,例如“安全编码实践”。”

    其中注入漏洞排名第二(共70个案例)。其次是38个跨站请求伪造(CSRF)问题和29个敏感数据泄露实例。

    “在插件和主题中发现的漏洞往往比在WordPress核心中发现的漏洞更为严重,” Sild在白皮书中写道。“更糟糕的是,许多流行的插件存在数百万个激活安装,而当我们查看有漏洞的插件影响了多少网站时,数量还不是很多。”

    全年激活的安全比较薄弱的主题和插件安装总数为7000万。根据WordCamp Central的统计,WordPress已安装在7500万个网站上。到2020年,许多站点可能拥有多个易受攻击的插件,而不是有7000万个单独站点处于风险之中。

    Patchstack对50,000个网站进行了调查,发现它们平均有23个激活插件。每个站点上约有四个插件的版本已经过时,并且没有可用的升级,这通常会增加出现安全问题的风险。

    WordPress插件解决了该报告中的478个漏洞。但是,只有82个独特的主题问题。尽管主题的范围通常受到更大的限制,但除了少数例外,它们可以做插件可以做的任何事情。

    看到主题的数量减少并不奇怪。但是,人们不得不怀疑,正在进行的放宽WordPress.org主题目录审查指南的计划是否会在未来一两年内将其纳入考虑范围。当前,官方目录的审阅者会进行广泛的代码检查,这很可能在主题到达用户手中之前就发现了问题。如果要权衡是更好的自动化,这还意味着更严格的编码标准和更少的人工审核者可能会错过的安全性问题。

    Sild在报告中总结道:“来自第三方代码的漏洞仍然是对基于WordPress的网站的最大威胁之一。” “相比2020年和2021年初,我们已经看到WordPress插件和主题中报告的独特漏洞有所增加。”

    1. 本站所有资源来源于用户上传和网络,因此不包含技术服务请大家谅解!如有侵权请邮件联系客服!384324621@qq.com
    2. 本站不保证所提供下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理,有奖励!
    3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
    4. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有★币奖励和额外收入!

    IO 源码网 » Patchstack白皮书:2020年超过96%WordPress安全问题来自第三方扩展

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    IO源码吧
    一个高级程序员模板开发平台

    发表评论

    • 89会员总数(位)
    • 10650资源总数(个)
    • 74本周发布(个)
    • 0 今日发布(个)
    • 412稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情