WordPress 安全和威胁情报领域的领导者 Patchstack 发布了一份白皮书，介绍了 2021 年 WordPress 的安全状况，该报告描绘了一幅可怕的画面。

更具体地说，与上一年相比，2021 年报告的漏洞增加了 150%，而 WordPress 插件中 29% 的严重漏洞从未收到安全更新。

考虑到 WordPress 是世界上最受欢迎的内容管理系统，43.2% 的网站都在使用，这令人担忧。

在 2021 年报告的所有缺陷中，只有 0.58% 存在于 WordPress 核心中，其余的是来自不同来源和不同开发人员的平台主题和插件。

值得注意的是，这些缺陷中有 91.38% 是在免费插件中发现的，而付费/高级 WordPress 插件仅占总数的 8.62%，这反映了更好的代码审查和测试程序。

关键问题

2021 年，Patchstack 统计了 5 个影响 55 个WordPress 主题的严重漏洞，其中影响最大的是文件上传功能的滥用。

在插件方面，报告了 35 个严重漏洞，其中两个影响了 400 万个网站。

Bleeping Computer 去年报道的两个值得注意的例子  是影响 100 万个网站 的“OptinMonster”插件和 让 300 万个网站遭受接管攻击的“All in One”SEO 插件。

虽然开发人员通过安全更新修复了这些漏洞，但九个插件从未收到补丁。因此，它们因未解决严重问题而被从插件市场中删除。

值得注意的是，该子集还主要受到未经身份验证的文件上传问题的影响，其次是 SQL 注入和权限提升错误。

最普遍的目标

PatchStack 报告称，跨站点脚本 (XSS) 在 2021 年报告的 WordPress 漏洞类型中位居榜首，其次是“混合”、跨站点请求伪造、SQL 注入和任意文件上传。

在报告的缺陷严重程度方面，3.41% 为严重，17.94% 为高度重要，76.76% 为中等，主要是由于存在利用条件。

到 2021 年，大约 42% 的 WordPress 网站至少有一个易受攻击的组件，平均安装了 18 个。虽然这个数字低于 2020 年网站上安装的 23 个插件，但问题仍然存在，因为 18 个插件中有 6 个已过时。

2021 年最具针对性的过时插件是 OptinMonster、PublishPress Capabilities、Booster for WooCommerce 插件和 Image Hover Effects Ultimate 插件。

总之，Patchstack 的报告强调，WordPress 网站管理员可以通过使用付费插件而不是免费产品来管理大多数安全风险，将安装的附加组件数量保持在最低限度，并尽快将它们升级到最新的可用版本。