来自 数据 2021-06-10 17:22 的文章

高防IP_高防服务器租赁_如何解决

高防IP_高防服务器租赁_如何解决

ImmuniWeb>安全博客Top 10个最易受攻击的WordPress插件11.2k 16 10 6 10 10 10更多11 6 4 2019年1月30日星期三,棋牌DDOS防御能力,按应用程序安全系列阅读时间:6分钟。以下是10个最受欢迎的WordPress插件,它们仍然比你想象的更脆弱。保持适当的更新,WordPress——包括它的插件——是网络上最安全的CMS之一。只要插件被主动更新,大多数漏洞就会被发现并修补,而不会造成广泛的恶意攻击。零日攻击确实会发生,但在维护不善或完全废弃的插件中更为常见。然而,漏洞被修复并不意味着它停止存在。在大多数情况下,这取决于用户确保他们对所有插件应用最新的安全更新。自满很容易产生,尤其是当一个站点使用了许多不同的插件或者这些插件很少受到黑客攻击的困扰时。以下是10个最流行的WordPress插件,它们仍然比你想象的更脆弱。10WP Super Cache XSS缺陷WP Super Cache是一个性能实用程序插件,通过提供静态HTML而不是完整的动态PHP脚本网页,服务器ddos防御怎么弄,简化了动态WordPress站点的加载时间。它有助于减少主机和访问者的带宽使用,目前有超过200万个WordPress网站在使用它。众所周知,WP Super Cache的旧版本存在PHP注入和XSS缺陷。尽管这些并不影响新版本,但大约20%的用户仍在使用1.4或更早版本。WP Super Cache 1.4的许多迭代都易受攻击。众所周知,WP Super Cache更新速度很慢,因此新发现的漏洞可能有很大的潜在利用空间。9W3 Total cache是一个流行的性能优化插件,有超过100万个活动安装,W3 Total cache承诺改善搜索引擎优化和页面加载时间。它具有很高的兼容性和可配置性——从最终用户的角度来看,它总是非常理想的特性,但是这些特性往往会给安全风险留下更多的途径。尽管W3 Total Cache有14个值得注意的漏洞,但大多数漏洞都是在2016年发现并修补的。然而,Total Cache的更新进度一直很慢,直到最近几个月,这个插件被认为已经被放弃了。一些长期用户可能不知道最近的更新。与大多数WordPress插件一样,最新版本具有良好的、稳定的安全性,但旧版本对请求伪造、XSS、任意代码执行和任意文件上传以及其他缺陷是开放的。8Jetpack Jetpack是WordPress的通用辅助和管理工具,旨在提供广泛的实用程序。这个插件是高度可配置的,涵盖了相对肤浅的功能,从图像上传和社交媒体按钮到后端代码辅助和站点指标。但是,如果插件被配置为管理代码和站点功能,一个受损的Jetpack插件可能会导致WordPress站点受损。Jetpack有超过500万的活跃安装。Jetpack目前有9个漏洞警告和4个CVE条目,尽管大多数都是针对过时版本的插件。最近的一次是在2018年12月公布的;这是一个XSS漏洞,允许JavaScript注入危害WordPress站点的服务器。2018年5月,Jetpack被用作攻击载体,在受害者的网站上安装恶意插件。如果用户的登录凭据被泄露,并且网站使用Jetpack,它可能被用来安装插件"pluginsamonsters",这将使攻击者完全控制网站。7WordPress最古老的专注于搜索引擎优化的插件自2007年发布以来,下载量超过5000万次。到今天为止,它在WordPress网站上有超过200万的活跃安装。在其WordPress页面上,它声称是有史以来下载量最多的WordPress插件,提供了广泛的SEO增强功能。AOISEO的最新漏洞是在2018年10月发现的。另一个XSS缺陷,插件的作者在报告该漏洞后的近两周内未能发布安全补丁。幸运的是,在此期间没有明显的剥削活动。较旧的漏洞包括更多的XSS漏洞,以及信息泄露和权限提升漏洞。6Wordfence在最易受攻击的WordPress插件列表中看到一个面向安全的插件令人震惊,但安全web应用程序通常是攻击者的主要目标。尤其是对于像Wordfence这样的流行和长期存在的应用程序来说,这一点尤为明显,它目前拥有超过200万个活动安装。它是WordPress使用最广泛的网络应用防火墙和恶意软件扫描插件。无论一个安全解决方案有多好,没有任何东西能够百分之百地抵御攻击者,尤其是当用户被纳入其中时。幸运的是,Wordfence列出的10个漏洞中的大多数都已经过时很久了,大部分都是由修补过的XSS缺陷组成的。长期以来,勤奋的Wordfence用户几乎不用担心。然而,2018年9月发现了多个新缺陷,包括多个XSS漏洞和一个文件路径泄露错误。由于Wordfence对于任何WordPress网站来说,在很大程度上都是一种真正有效的安全措施,用户需要小心安装一次就忘记了。即使新的漏洞寥寥无几,但只要几天内未解决已知的风险,ddos攻击防御软件,就可能给黑客敞开大门。5联系人表单7这个插件是所有WordPress插件中使用最广泛的第二个插件,目前有超过500万活跃用户。它被设计来管理和定制一个网站的联系表格。默认配置不处理个人用户数据,尽管插件是可配置的,允许一定量的跟踪。联系表7并不经常受到安全风险的困扰,自2014年以来只有三次咨询。CF7比其他插件更容易受到攻击的是它的用户基础和2018年9月披露的权限提升漏洞。该漏洞本身不涉及高破坏风险,但允许攻击者将恶意文件上载到站点目录,阿里云ddos防御安装,从而可能导致进一步的、更具破坏性的攻击。这个缺陷在联系人表单7的当前版本中已经修复,但是不到30%的用户拥有最新的插件。这使得350万或更多的WordPress站点暴露于此权限提升漏洞。4NextGEN Gallery NextGEN Gallery是WordPress最重要的Gallery插件,自2007年开始运行。这个插件拥有超过150万次的年下载量,提供了在WordPress网站上管理图片上传、存储和显示的功能。这包括视觉主题、照片库和幻灯片。这个插件有14条安全建议,但其中只有两条来自去年。2017年和2018年共有5个CVE条目,包括代码执行、目录遍历和XSS缺陷。该插件最严重的安全漏洞之一出现在2017年,当时一个SQL注入漏洞使插件的网站面临数据暴露的风险。三。重定向自称是"WordPress最流行的重定向管理器",重定向拥有超过100万个活动安装。作为一个页面错误的辅助工具,并将断开的链接重定向到活动站点页面,该插件承诺帮助任何规模的WordPress站点保持流线型和整洁。该插件的大部分时间都没有受到安全漏洞的困扰,但2018年带来了两个严重的新缺陷。今年6月,发布了一份关于本地文件包含漏洞的建议;这是一种注入缺陷。去年12月,发现一个跨站点请求伪造漏洞,可能使受影响的站点面临全面收购。尤其是在后一种情况下,尽管修补了缺陷,许多用户仍然暴露在外。只有28%的活动安装是最新的,超过四分之三的用户目前易受攻击。2Yoast SEO Yoast拥有超过500万用户的用户群,目前不仅是WordPress最受欢迎的SEO插件,也是最受欢迎的插件。在如此广泛的用户基础上,新的漏洞比任何其他WordPress插件都更加敏感。严重的零日或未能解决缺陷可能会影响数百万个站点。Yoast SEO存在10个已知的漏洞警告,cc攻击怎么防御,另外5个会影响Yoast团队的Google Analytics插件。新的缺陷经常发生,从2017年底开始新的XSS发现,从2018年11月开始有一个经过验证的竞赛条件缺陷。竞争条件漏洞有可能根据插件的设置允许远程代码执行。这在Yoast SEO版本9.2中得到了修复,但截至2019年1月,超过50%的插件用户仍在使用9.1或更早版本。1WooCommerce WooCommerce是WordPress领先的电子商务插件,拥有超过400万的活跃安装,并声称为所有在线商店的30%提供动力。由于其在处理客户支付方面的功能,它自然成为黑客的攻击目标;它支持的网站可能同时存储客户的个人和支付数据。WooCommerce插件上有19个漏洞警告可以追溯到2014年,插件扩展还有多个漏洞。仅2018年,WooCommerce核心插件就出现了7个不同的漏洞,其中包括XSS、反序列化、注入和权限提升漏洞。去年11月发现的一个缺陷是,任何拥有"店长"特权的人都可以完全控制一个由WooCommerce驱动的网站。Wrap-up WordPress内核稳定且相对安全。它的插件是另一回事。从这个列表中可以清楚地看到,必须像瘟疫一样避免遗留插件——新的零日漏洞只会保持零日漏洞。此外,当一个用户可以在多个类似的插件中进行选择时,一个具有更好的suppl历史的插件