最近從WebARX重命名的Patchstack發布了2020年安全白皮書。該報告確定了總共582個安全漏洞。但是，只有22個問題來自WordPress本身。第三方插件和主題占剩余的96.22％，所以奉勸大家千萬不要使用來路不明的盜版WordPress插件和盜版WordPress主題。

“這些都是Patchstack內部研究團隊，Patchstack Red Team社區，第三方安全供應商以及其他獨立安全研究人員所披露的所有安全問題，” Patchstack創始人兼首席執行官Oliver Sild說。“因此，它包括有關漏洞的所有公共信息。”

Patchstack是一家安全公司，專注于WordPress的第三方擴展。它的漏洞數據庫是公共的，任何人都可以查看。

2020年第二季度，Patchstack對近400名Web開發人員，自由職業者和代理商進行了有關Web安全性的調查。白皮書說：“超過70％的人回答說，他們越來越擔心自己的網站的安全性，首要原因是'第三方插件中的漏洞'。” “大約有45％的受訪者發現對其所管理的網站的攻擊有所增加，而25％的受訪者必須在參與調查的前一個月內處理被黑的網站。”

在漏洞排名中，排名最高的是跨站點腳本（XSS）問題，占總數的36.2％。

“ WordPress插件中的XSS幾乎總是發生，因為用戶輸入的數據被直接打印到屏幕上而沒有任何清理，” Sild說。”esc_html將用于將某些字符轉換為它們的HTML實體，因此它將按字面意義打印在屏幕上。然后，還有esc_attr用于用戶輸入的變量，需要在HTML屬性中使用。OWASP（開放Web應用程序安全性項目）發布了許多很好的資源，例如“安全編碼實踐”。”

注射漏洞在70個獨特案例中排名第二。其次是38個跨站請求偽造（CSRF）問題和29個敏感數據泄露實例。

“在插件和主題中發現的漏洞往往比在WordPress核心中發現的漏洞更為嚴重，” Sild在白皮書中寫道。“更糟糕的是，許多流行的插件都有數百萬個活動安裝，而當我們查看有漏洞的插件影響了多少網站時，數量還不是很多。”

全年活躍和脆弱的主題和插件安裝總數為7000萬。根據WordCamp Central的統計，WordPress已安裝在7500萬個網站上。到2020年，許多站點可能擁有多個易受攻擊的插件，而不是有7000萬個單獨站點處于風險之中。

Patchstack對50,000個網站進行了調查，發現它們一次平均有23個活動插件。每個站點上約有四個已經過時，并且沒有可用的升級，這通常會增加出現安全問題的風險。

WordPress插件解決了該報告中的478個漏洞。但是，只有82個獨特的主題問題。盡管主題的范圍通常受到更大的限制，但除了少數例外，它們可以做插件可以做的任何事情。

看到主題的數量減少并不奇怪。但是，人們不得不懷疑，正在進行的放寬WordPress.org主題目錄審查指南的計劃是否會在未來一兩年內將其納入考慮范圍。當前，官方目錄的審閱者會進行廣泛的代碼檢查，這很可能在主題到達用戶手中之前就發現了問題。如果要權衡是更好的自動化，這還意味著更嚴格的編碼標準和更少的人工審核者可能會錯過的安全性問題。

Sild在報告中總結道：“來自第三方代碼的漏洞仍然是對基于WordPress的網站的最大威脅之一。” “相比2020年和2021年初，我們已經看到WordPress插件和WordPress主題中報告的獨特漏洞有所增加。”

奉勸大家千萬不要使用來路不明的盜版WordPress插件和盜版WordPress主題。