WordPress网站安全漏洞 98%由外挂引发

刘绪刚

　　据安全厂商Imperva在2018年展开的调查显示，尽管WordPress是骇客最常锁定的内容管理平台，但全球的WordPress网站漏洞，却有高达98%是由于外挂程序所引发，只有2%涉及WordPress核心。

　　在全球的网站中，有28%是以WordPress架设，如果按全球基于CMS的网站计算的话，WordPress的市占率更高达59%。

　　高市占率的平台自然成为骇客的头号攻击目标，与排名二、三的Joomla及Drupal相较，WordPress网站在去年出现542个安全漏洞，Joomla不到200个，Drupal则仅有100个。

　　而Imperva的研究则显示，WordPress网站的漏洞有高达98%源自于用来扩充网站功能的外挂程序。根据WordPress官网的统计，目前支持WordPress的外挂程序数量接近5.5万个，基于开源码的WordPress允许任何人打造及出版外挂程序，且仅使用最低的安全标准，造成漏洞频现。

　　比如近期线上客服程序WP Live Chat Support，就允许WordPress网站与造访者进行即时的线上交流，而且可在客户发出信息前就看到内容，还具备文件或视频分享功能，估计至少有6万个WordPress网站安装了WP Live Chat Support。

　　不过，先是Sucuri Firewall团队在4月底发现WP Live Chat Support含有常驻的跨站指令码漏洞。Alert Logic研究团队继之于5月初，揭露WP Live Chat Support团队在去年5月释出的8.0.11，理应完成CVE‐2018‐12426漏洞的修补，但并没有真正地解决问题，骇客依然能够上传恶意文件到用户电脑。

　　令人不解的是，WP Live Chat Support已在5月15日放出了最新的8.0.27以修补相关漏洞，但WordPress却在5月17日关闭了WP Live Chat Support的下载服务，且不管是WordPress或WP Live Chat Support团队，都未提出任何的说明。

　　不论如何，在使用开源的平台或外挂程序时，还是应该记得慎选风评良好的开发者。