超过 8800 个 WordPress 官方插件存漏洞

据外媒报道，安全公司 RIPS 技术人员分析了 WordPress 官方插件目录中的 44705 个插件，发现超过 8800 个 WordPress 插件存在漏洞。

安全公司 RIPS 下载了 WordPress 官方插件库中的全部插件共 47959 个，并使用静态代码分析器分析插件。令人震惊的是，约一半的“大型”插件至少存在一个中等严重程度的漏洞。

大约 14000 个插件是由 2-5 个文件组成，其中只有 10500 个插件由超过 500 行代码组成，这类插件被列为“大型插件”。

对“大型插件”（ 10523 ）分析发现，43％ 的插件（ 4559 ）至少含有一个中等严重程度的漏洞。专家们称所有插件的漏洞加起来约 67486 个。

大约 36000 个插件不含任何漏洞，1426 个有低严重性漏洞，4600多个插件有中等严重程度漏洞，2799 个插件有高严重性漏洞，41 个插件存在高危漏洞。

约 68％ 的漏洞是跨站点脚本（XSS）漏洞，XSS 漏洞是 WordPress 网站最主要的问题，此外，SQL 注入漏洞约占 20％ 。

安全公司 RIPS 在 2016 年 1 月至 12 月间部署了一个 WordPress 蜜罐并探测到超过 200 起攻击。下面是各插件探测到的攻击次数

· Revolution Slider: 69 次
· Beauty & Clean Theme: 46 次
· MiwoFTP: 41 次
· Simple Backup: 33 次
· Gravity Forms: 11 次
· WordPress Marketplace: 9 次
· CP Image Store: 8 attacks
· WordPress Download Manager: 6 次

稿源：本站翻译整理，封面来源：百度搜索

from hackernews.cc.thanks for it.