外媒1月23日消息，安全研究人員近期公布了2017年 WordPress 插件和主題漏洞的統計數據，這些數據來源于 ThreatPress 最新的 WordPress 漏洞數據庫。據悉，目前 ThreatPress 正在監視大量的數據源，以便實時向數據庫中添加新的漏洞。

2017 年 ThreatPress 在其數據庫中添加了 221 個漏洞，總數較之前減少了 69 ％。數據顯示， 跨站腳本（XSS）與 2016 年一樣，仍然位列榜首。研究人員猜測是因為許多開發人員不重視轉義數據輸出，才導致了越來越多的 WordPress 插件和主題受到跨站點腳本（XSS）漏洞的攻擊。此外， SQL 注入漏洞在 2017 年也大幅上升。

令人驚訝的是，目前有許多網站受到 WordPress 插件中的漏洞威脅，據初步統計，安裝插件的網站總數已達 17,101,300 + ，其中：

○ 易受攻擊的插件 – 202

○ 易受攻擊的主題 – 5

○ 受 WordPress.org 存儲庫漏洞影響的插件 – 153

○ 受漏洞影響的 非 WordPress.org 存儲庫插件 – 24

　　WordPress 的三大漏洞

○ 跨站點腳本（ XSS ）

○ SQL 注入（ SQLi ）

○ 損壞的訪問控制

按漏洞類型分類的插件 TOP 5 統計

○ XSS（跨站腳本） – 71

○ SQL注入 – 40

○ 不受限制的訪問 – 20

○ 跨站請求偽造（CSRF） – 12

○ 多重攻擊（Multi） – 10

在 2017 年受到漏洞影響的最受歡迎的 5 個插件

○ Yoast SEO（最流行的 SEO 插件） – 5,000,000 –> 受 XSS（跨站腳本）影響

○ WooCommerce（最流行的電子商務插件） – 3,000,000 –> 受 XSS（跨站腳本）影響

○ Smush 圖像壓縮和優化 – 1,000,000 –> 受 目錄遍歷 影響

○ Duplicator – 1,000,000 –> 受 XSS（跨站腳本）影響

○ Loginizer – 600,000 –> 受 SQL 注入影響

滯后的安全更新

○ WordPress 在 2017 年發布了 8 個安全更新。

○ 安全漏洞數據庫中的漏洞總數為 3321 。

○ 第一個漏洞發現于 2005-02-20 。