资安业者Imperva在2018年所进行的调查显示,尽管WordPress是黑客最常锁定的内容管理平台(Content Management System),但全球的WordPress网站漏洞,却有高达98%与插件有关,只有2%涉及WordPress核心。在全球的网站中,有28%是以WordPress架设,若计算全球基于CMS的网站,WordPress的市占率更高达59%。

市占率最高的平台自然也成为黑客的头号攻击目标,与排名二、三的Joomla及Drupal相较,WordPress网站在去年出现542个安全漏洞,Joomla不到200个,Drupal则仅有100个。而Imperva的研究则显示,WordPress网站的漏洞有高达98%源自于用来扩充网站功能的插件。根据WordPress官网的统计,目前支持WordPress的插件数量接近5.5万个,基于开源码的WordPress允许任何人打造及出版插件,且仅采用最低的安全标准,因而漏洞丛生。最近的例子为在线客服程序WP Live Chat Support,它允许WordPress网站与造访者进行实时的在线交流,而且可在客户送出讯息前就看到讯息内容,亦具备档案或影像分享能力,估计至少有6万个WordPress网站安装了WP Live Chat Support。更多安全相关内容:sbf胜博票台 www.ktnetks.com.tw

不过,先是Sucuri Firewall团队在4月底发现WP Live Chat Support含有常驻的跨站脚本漏洞。Alert Logic研究团队继之于5月初,揭露WP Live Chat Support团队在去年5月释出的8.0.11,理应完成CVE‐2018‐12426漏洞的修补,但并没有真正地解决问题,黑客依然能够上传恶意档案到用户计算机。令人不解的是,WP Live Chat Support已在5月15日释出最新的8.0.27以修补相关漏洞,但WordPress却在5月17日关闭了WP Live Chat Support的下载服务,且不管是WordPress或WP Live Chat Support团队,都未提出任何的说明。不论如何,在使用开源的平台或插件时,应记得慎选风评良好的开发者。

意想不到!WordPress安全漏洞98%来自插件相关推荐

  1. WordPress WP Photo Album Plus插件‘wppa-tag’跨站脚本漏洞

    漏洞名称: WordPress WP Photo Album Plus插件'wppa-tag'跨站脚本漏洞 CNNVD编号: CNNVD-201301-458 发布时间: 2013-01-24 更新时 ...

  2. WordPress BuddyPress Extended Friendship Request插件跨站脚本漏洞

    漏洞名称: WordPress BuddyPress Extended Friendship Request插件跨站脚本漏洞 CNNVD编号: CNNVD-201307-609 发布时间: 2013- ...

  3. asp.net怎么实现按条件查询_Display Posts : 按条件显示WordPress文章的最强插件

    转自丘壑博客 WordPress本质上是一个内容管理系统(CMS),是显示.创建.发布和维护内容的软件. 本文介绍的插件 Display Posts 主要就是用来扩展WordPress关于显示内容这部 ...

  4. eku php,WPSeku安装与使用:WordPress 安装漏洞扫描器

    摘要:WordPress 是一款高度自定义的免费开源内容管理系统(CMS),它是被全世界运行最多的 CMS,因此全世界数以百万... WordPress 是一款高度自定义的免费开源内容管理系统(CMS ...

  5. WordPress 网站漏洞扫描 wpscan Kali Linux

    在 WordPress 网站漏洞扫描,我将向你展示一些有用的命令 , 我们可以使用在 wpscan 搜索已知的漏洞在 wordpress 博客. 打开终端 , 使用下面的命令以启动对目标 wpscan ...

  6. 10多个WordPress团购主题和插件

    如今,团购是在线购物领域中最热门的趋势之一. 而为什么不呢! 如此众多的网站以令人难以置信的低价提供大量交易 ,因此每个人都想成为获得更好交易的聪明人-这就是为这些网站带来如此丰厚利润的原因. 因此, ...

  7. 50个常用元器件图片_盘点2020年wordpress常用的50个插件合集

    大家好,玩码哥今天给大家盘点一下2020年wordpress常用的50个插件合集,可以选择性安装或者是去搜索添加,大部分的插件是可以在网上搜到的. 1.All In One WP Security插件 ...

  8. WordPress独立资源下载页面插件 基于美化Xydown插件

    介绍: xydown是一款wordpress的独立下载页面插件,主要适用于wp建站用户使用,有些用户在发布文章的时候想要添加一些下载资源,使用这款插件可以把下载的内容独立出来,支持添加本地下载或者百度 ...

  9. WORDPRESS QQ扫码登录插件

    下载地址:https://www.wuzhixiang.cn/index.php/2020/01/28/wordpress-qqlogin/ 一.插件预览 登录页面 点击QQ图标 登录未绑QQ定时的小 ...

最新文章

  1. ScrollView 嵌套EditText 滑动冲突解决
  2. Jenkins配置Java项目1(Java+Maven+Tomcat+SVN/Git)
  3. 弱电工程计算机网络系统基础知识
  4. 重构-打造爱因斯坦谜题最快算法
  5. mac brew重装apache_记一次 Mac 安装 Pygame 报错的故事 -- 手把手系列~
  6. float排版c语言,如何解决因float带来的排版问题?
  7. oracle8修改最大连接数,ORACLE查看并修改最大连接数的具体步骤
  8. codeforces 1136E-Nastya Hasn't Written a Legend
  9. 素筛打表(输出小于n最大素数)
  10. Unity3D Shader 入门之控制语句
  11. linux下编译C++程序无法链接Mysql的问题
  12. 只谈Network,不谈Social,互联网营销
  13. 深度学习 keras_Keras深度学习教程
  14. 老外的一个用的SQLite的例子,看起来比较初级
  15. 2020年河南对口升学计算机类专业课试卷,2009年河南对口升学计算机专业试卷专业课...
  16. 什么是分布式操作系统?有哪些优缺点?
  17. vss 迁入后,服务器上面的文件没有变化,VSS迁移
  18. Mono 的执行流程
  19. heka 输出到mysql_让Heka支持lua的io操作和os操作
  20. AI实战:文本自动摘要简述

热门文章

  1. Dubbo的使用及原理浅析
  2. JavaScript简明教程之快速入门
  3. 详解Tomcat配置JVM参数步骤
  4. 不曾有练字基础的成年人,应该如何科学地练字会更有成效?
  5. 数据结构之并查集Union-Find Sets
  6. Python的单引号、双引号和三引号的字符串
  7. Coursera课程Python for everyone:Quiz: eXtensible Markup Language
  8. 闭包漫谈(从抽象代数及函数式编程角度)
  9. Deep Learning源代码收集-持续更新…
  10. 2015年绿盟面试题