外媒 1 月 23 日消息,安全研究人员近期公布了 2017 年 WordPress 插件和主题漏洞的统计数据,这些数据来源于 ThreatPress 最新的 WordPress 漏洞数据库。据悉,目前 ThreatPress 正在监视大量的数据源,以便实时向数据库中添加新的漏洞。
2017 年 ThreatPress 在其数据库中添加了 221 个漏洞,总数较之前减少了 69 %。数据显示, 跨站脚本(XSS)与 2016 年一样,仍然位列榜首。研究人员猜测是因为许多开发人员不重视转义数据输出,才导致了越来越多的 WordPress 插件和主题受到跨站点脚本(XSS)漏洞的攻击。此外, SQL 注入漏洞在 2017 年也大幅上升。
令人惊讶的是,目前有许多网站受到 WordPress 插件中的漏洞威胁,据初步统计,安装插件的网站总数已达 17,101,300 + ,其中:
○ 易受攻击的插件 – 202
○ 易受攻击的主题 – 5
○ 受 WordPress.org 存储库漏洞影响的插件 – 153
○ 受漏洞影响的 非 WordPress.org 存储库插件 – 24
WordPress 的三大漏洞
○ 跨站点脚本( XSS )
○ SQL 注入( SQLi )
○ 损坏的访问控制
按漏洞类型分类的插件 TOP 5 统计
○ XSS(跨站脚本) – 71
○ SQL注入 – 40
○ 不受限制的访问 – 20
○ 跨站请求伪造(CSRF) – 12
○ 多重攻击(Multi) – 10
在 2017 年受到漏洞影响的更受欢迎的 5 个插件
○ Yoast SEO(更流行的 SEO 插件) – 5,000,000 –> 受 XSS(跨站脚本)影响
○ WooCommerce(更流行的电子商务插件) – 3,000,000 –> 受 XSS(跨站脚本)影响
○ Smush 图像压缩和优化 – 1,000,000 –> 受 目录遍历 影响
○ Duplicator – 1,000,000 –> 受 XSS(跨站脚本)影响
○ Loginizer – 600,000 –> 受 SQL 注入影响
滞后的安全更新
○ WordPress 在 2017 年发布了 8 个安全更新。
○ 安全漏洞数据库中的漏洞总数为 3321 。
○ 之一个漏洞发现于 2005-02-20 。
消息来源:Security Affairs,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
视频链接:https://n.sinaimg.cn/sinakd20211219s/138/w600h338/20211219/9907-45d93401a89f40f888b22dc250f73fab.jpg 区块链项目Ronin发布消息称,黑客从该项目窃取价值6.15亿美元的加密货币。按照R...
据TechCrunch报道,美国政府通过悬赏1000万美元来寻找能够识别或定位黑客组织Sandworm成员的信息,从而加大了对六名俄罗斯情报官员的追捕力度。黑客组织Sandworm的成员为俄罗斯军事情报部门GRU的一个部门工作–以对关键基础设施,包括食品供应和能源部门发起破坏性和毁灭性的网络攻击而闻...
美国联邦调查局警告食品和农业公司,要做好准备,防止勒索软件操作者在播种和收获季节攻击农业实体。联邦调查局的警告指出,以前在这些季节对6个粮食合作社的勒索软件攻击是在2021年秋收期间进行的,2022年初的两次攻击可能通过破坏种子和化肥的供应而影响种植季节。 “网络犯罪分子可能将农业合作社视为有利可...
Hackernews编译,转载请注明出处: 一个企业网络间谍黑客组织在消失了7个月后重新浮出水面,今年它针对4家公司进行新入侵行动,其中包括俄罗斯最大的批发商店之一,同时对其工具集进行了战术性改进,以试图阻挠分析。 Group-IB 的伊万 · 皮萨列夫说: “在每一次攻击中,攻击者都展示了广泛的...
电动汽车(EV)革命来了。在过去的十年里,插电式混合动力电动车已经从16000辆增长到超过200万辆,汽车高管们预计到2030年,超过50%的美国汽车将是全电动的。不难看出,专家们为何做出如此乐观的预测。除了不断增长的电动汽车车队,今年早些时候签署的美国国会两党基础设施协议将包括75亿美元,以帮助规...
援引 BBC News 报道,伦敦警方已经逮捕了 7 名青年,怀疑他们和近期非常猖獗的黑客组织 Lapsus$ 有关。在一份提交给 The Verge 的声明中,伦敦市警方的探长迈克尔·奥沙利文表示:“伦敦市警方一直在与合作伙伴一起对一个黑客组织的成员进行调查。在调查中有 7 名年龄在 16-21...