意想不到！WordPress安全漏洞98%来自插件

资安业者Imperva在2018年所进行的调查显示，尽管WordPress是黑客最常锁定的内容管理平台（Content Management System），但全球的WordPress网站漏洞，却有高达98%与插件有关，只有2%涉及WordPress核心。在全球的网站中，有28%是以WordPress架设，若计算全球基于CMS的网站，WordPress的市占率更高达59%。

市占率最高的平台自然也成为黑客的头号攻击目标，与排名二、三的Joomla及Drupal相较，WordPress网站在去年出现542个安全漏洞，Joomla不到200个，Drupal则仅有100个。而Imperva的研究则显示，WordPress网站的漏洞有高达98%源自于用来扩充网站功能的插件。根据WordPress官网的统计，目前支持WordPress的插件数量接近5.5万个，基于开源码的WordPress允许任何人打造及出版插件，且仅采用最低的安全标准，因而漏洞丛生。最近的例子为在线客服程序WP Live Chat Support，它允许WordPress网站与造访者进行实时的在线交流，而且可在客户送出讯息前就看到讯息内容，亦具备档案或影像分享能力，估计至少有6万个WordPress网站安装了WP Live Chat Support。更多安全相关内容：sbf胜博票台 www.ktnetks.com.tw

不过，先是Sucuri Firewall团队在4月底发现WP Live Chat Support含有常驻的跨站脚本漏洞。Alert Logic研究团队继之于5月初，揭露WP Live Chat Support团队在去年5月释出的8.0.11，理应完成CVE‐2018‐12426漏洞的修补，但并没有真正地解决问题，黑客依然能够上传恶意档案到用户计算机。令人不解的是，WP Live Chat Support已在5月15日释出最新的8.0.27以修补相关漏洞，但WordPress却在5月17日关闭了WP Live Chat Support的下载服务，且不管是WordPress或WP Live Chat Support团队，都未提出任何的说明。不论如何，在使用开源的平台或插件时，应记得慎选风评良好的开发者。