資安業(yè)者Imperva在2018年所進(jìn)行的調(diào)查顯示，盡管WordPress是黑客最常鎖定的內(nèi)容管理平臺(tái)（Content Management System），但全球的WordPress網(wǎng)站漏洞，卻有高達(dá)98%與插件有關(guān)，只有2%涉及WordPress核心。在全球的網(wǎng)站中，有28%是以WordPress架設(shè)，若計(jì)算全球基于CMS的網(wǎng)站，WordPress的市占率更高達(dá)59%。

市占率最高的平臺(tái)自然也成為黑客的頭號(hào)攻擊目標(biāo)，與排名二、三的Joomla及Drupal相較，WordPress網(wǎng)站在去年出現(xiàn)542個(gè)安全漏洞，Joomla不到200個(gè)，Drupal則僅有100個(gè)。而Imperva的研究則顯示，WordPress網(wǎng)站的漏洞有高達(dá)98%源自于用來(lái)擴(kuò)充網(wǎng)站功能的插件。根據(jù)WordPress官網(wǎng)的統(tǒng)計(jì)，目前支持WordPress的插件數(shù)量接近5.5萬(wàn)個(gè)，基于開(kāi)源碼的WordPress允許任何人打造及出版插件，且僅采用最低的安全標(biāo)準(zhǔn)，因而漏洞叢生。最近的例子為在線客服程序WP Live Chat Support，它允許WordPress網(wǎng)站與造訪者進(jìn)行實(shí)時(shí)的在線交流，而且可在客戶送出訊息前就看到訊息內(nèi)容，亦具備檔案或影像分享能力，估計(jì)至少有6萬(wàn)個(gè)WordPress網(wǎng)站安裝了WP Live Chat Support。更多安全相關(guān)內(nèi)容：sbf勝博票臺(tái) www.ktnetks.com.tw

不過(guò)，先是Sucuri Firewall團(tuán)隊(duì)在4月底發(fā)現(xiàn)WP Live Chat Support含有常駐的跨站腳本漏洞。Alert Logic研究團(tuán)隊(duì)繼之于5月初，揭露WP Live Chat Support團(tuán)隊(duì)在去年5月釋出的8.0.11，理應(yīng)完成CVE‐2018‐12426漏洞的修補(bǔ)，但并沒(méi)有真正地解決問(wèn)題，黑客依然能夠上傳惡意檔案到用戶計(jì)算機(jī)。令人不解的是，WP Live Chat Support已在5月15日釋出最新的8.0.27以修補(bǔ)相關(guān)漏洞，但WordPress卻在5月17日關(guān)閉了WP Live Chat Support的下載服務(wù)，且不管是WordPress或WP Live Chat Support團(tuán)隊(duì)，都未提出任何的說(shuō)明。不論如何，在使用開(kāi)源的平臺(tái)或插件時(shí)，應(yīng)記得慎選風(fēng)評(píng)良好的開(kāi)發(fā)者。

總結(jié)

以上是生活随笔為你收集整理的意想不到！WordPress安全漏洞98%来自插件的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。