Wordfence和WPScan发布年中WordPress安全报告

根据WPScan与Wordfence合作发布的年中安全报告,WPScan有望在提交给其数据库的WordPress插件漏洞方面创下纪录。在2021年上半年,WPScan已经记录了602个新的漏洞,迅速超过了2020年全年报告的514个。

该报告基于来自Wordfence平台的攻击数据和来自WPScan漏洞数据库的数据,提供了WordPress安全现状的更全面的图片,比任何一家公司都能单独提出。

报告中强调的趋势之一是密码攻击的增加。Wordfence在2021年上半年阻止了超过860亿次密码攻击尝试。攻击者使用各种方法来获得对WordPress网站的访问权,包括根据被破坏的密码列表测试网站,字典攻击,以及更多资源密集型的暴力攻击。

Wordfence和WPScan发布年中WordPress安全报告插图

Wordfence发现标准登录是主要的密码攻击目标,占40.4%,其次是XML-RPC(37.7%)。由于这些攻击似乎在增加,报告建议网站所有者在所有可用账户上使用双因素认证,使用每个账户独有的强大安全密码,在不使用时禁用XML-RPC,并实施暴力保护。

来自Wordfence的网络应用程序防火墙的数据显示,由于漏洞利用和被封锁的IP地址,有超过40亿的请求被封锁。该报告包括每个防火墙规则所阻挡的请求的百分比明细。目录穿越占了27.1%的请求。这是指攻击者试图在未经授权的情况下访问文件,并执行诸如阅读或删除网站的/wp-config.php文件等操作。这一分类还强调了一个事实,即某些较早的漏洞仍然经常被攻击者盯上。

Wordfence和WPScan发布年中WordPress安全报告插图1

WordPress生态系统中,你听到的绝大多数漏洞都来自于插件,而主题所占的比例要小得多。报告指出,在WPScan今年上半年编目的602个漏洞中,只有3个是在WordPress核心中发现的。

在按类型分析漏洞时,WPScan发现跨站脚本(XSS)漏洞占所有漏洞的一半以上(52%),其次是跨站请求伪造(CSRF),占16%,SQL注入(13%),访问控制问题(12%),以及文件上传问题(7%)。利用通用漏洞评分系统(CVSS)的评分,WPScan发现报告的漏洞中,17%是严重的,31%是高度的,50%是中等严重的。

Wordfence和WPScan都声称,今年报告的漏洞数量更多,表明了WordPress生态系统的发展和对安全的成熟、健康的兴趣。主题和插件并没有随着时间的推移变得越来越不安全,而是有更多的人对发现和报告漏洞感兴趣。

“Wordfence威胁分析师Chloe Chamberland说:”首先,我们没有看到插件和主题中有很多新引入的漏洞,相反,我们看到很多旧插件和主题中的旧漏洞被报告/修复,只是直到现在才被发现。

“漏洞的引入不再那么频繁,更多的漏洞被检测出来,这仅仅是因为研究人员的活动增多,这反过来对WordPress生态系统的安全产生了积极的影响。考虑到经常被发现的并不是新引入的漏洞,我有信心说,发现的增加并不表明生态系统的安全性在降低,而是变得更安全了。”

Chamberland还说,她相信当漏洞被披露给供应商时,会产生多米诺骨牌效应,他们会从事故中吸取教训,导致他们在未来开发更安全的产品。

她说:”从我的经验来看,因为我花了很多时间寻找WordPress插件的漏洞,从我的角度来看,事情肯定是越来越安全了,”她说。”今天,我经常发现在所有正确的地方都有能力检查和nonce检查,还有适当的文件上传验证措施,以及所有这些好东西。在积极维护的插件和主题中,已经很难找到容易被利用的漏洞了,这是一件好事!”

年中报告以PDF格式可以从WPScan网站免费下载。WPScan创始人兼首席执行官Ryan Dewhurst表示,他预计将有一份2021年的年终报告。他尚未与Wordfence讨论此事,但两家公司正在集思广益,探讨其他合作方式。

 收藏 (0) 更新不易,打赏吧

您可以选择一种方式赞助本站

支付宝扫一扫赞助

微信钱包扫描赞助

除特别注明外,本站所有文章均基于CC-BY-NC-SA 4.0原创,转载请注明出处。
文章名称:《Wordfence和WPScan发布年中WordPress安全报告》
文章链接:https://www.banzhuti.com/8995.html
分享到: 生成海报
版权免责声明

① 本站提供的资源(插件或主题)均为网上搜集,如有涉及或侵害到您的版权请立即通知我们。
② 本站所有下载文件,仅用作学习研究使用,请下载后24小时内删除,支持正版,勿用作商业用途。
③ 因代码可变性,不保证兼容所有浏览器、不保证兼容所有版本的WP、不保证兼容您安装的其他插件。
④ 本站保证所提供资源(插件或主题)的完整性,但不含授权许可、帮助文档、XML文件、PSD、后续升级等。
⑤ 由本站提供的资源对您的网站或计算机造成严重后果的本站概不负责。
⑥ 使用该资源(插件或主题)需要用户有一定代码基础知识!另本站提供汉化使用安装教程,仅供参考。
⑦ 有时可能会遇到部分字段无法汉化,同时请保留作者汉化宣传信息,谢谢!
⑧ 本站资源售价只是赞助和汉化辛苦费,收取费用仅维持本站的日常运营所需。
⑨ 如果喜欢本站资源,欢迎捐助本站开通会员享受优惠折扣,谢谢支持!
⑩ 如果网盘地址失效,请在相应资源页面下留言,我们会尽快修复下载地址。

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

WordPress主题 插件 建站 汉化

定制服务联系我们
切换注册

登录

点击按钮进行验证

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活