3个过期插件导致8,000个WordPress网站被入侵

WordPress中文网

8年前 / 5171 次阅读

著名安全网站Sucuri发布了2016年第1季度的网站入侵趋势报告，对11,485个被黑客入侵的网站进行了调查，发现使用过期插件、主题、或者其他扩展，是造成WordPress网站被黑的一个主要原因。

报告简介

报告指出，遭到入侵网站排名前三的CMS平台分别是WordPress，Joomla! 和 Magento 。但这并不说明这三个CMS系统的安全性比其他平台低。

在绝大多数情况下，CMS内核对于网站安全性几乎没有影响；网站被入侵的主要是因为站长不恰当的部署、配置、及维护造成的。

除了大家较为熟悉的WordPress，Joomla!，和Drupal三个开源CMS平台，Magento系统的使用率和网站被入侵的次数有明显攀升。Magento是一个用于搭建在线商店的的CMS平台，可以帮助用户快速开通在线网店。

过期CMS分析

CMS平台的漏洞主要存在于其灵活的扩展组件（插件、主题、扩展、模版等）中。报告对CMS平台的过期情况进行了分析。

在四大主流的CMS中，过期版本使用率最高的是Magento，其余分别是Joomla!，Drupal，和WordPress。WordPress在升级的方便性上做了巨大努力。小版本的更新，主要是打安全补丁，WP会自动进行及时更新。大版本的更新，用户只需要在后台点击一个按钮即可。既便如此，仍然有56%的用户使用过期的WordPress版本。网站安全依然面临挑战。

深度分析WordPress

由于WordPress在市场中占据绝对领导地位，报告对WordPress进行了深入分析。

在WordPress网站遇到的危害之中，有四分之一是因为三个过期插件造成的。这三个插件分别是RevSlider（非常有名的网站幻灯片、轮播图收费插件），GravityForm（著名的头像表单收费插件），和TimThumb（著名的缩略图脚本）。

这三个插件的早期某些版本存在安全隐患，但这些插件都在至少一年之前做了修复，其中TimThumb的漏洞早在四年前就做了修复。Gravity Forms表单存在任意文件上传漏洞（AFU），并于2014年12月发布1.8.20版本进行了修复，但在这次安全报告中仍然有网站因为这个漏洞而被入侵。RevSlider插件从2014年2月开始静默修补漏洞，2014年9月漏洞公开披露，然后开始大规模网站遭遇入侵，2014年12月，仍有网站不断中招。对于这两个收费插件，用户只要及时更新到最新版本就可以修复其漏洞。

最有意思的是TimThumb，这是一个生成缩略图的脚本。它在2011年8月被公布存在安全漏洞，随后立即发布了新版本做了修复。然而到现在已经将近5年了，仍然不断有网站因为使用旧版本的TimThumb而中招。如果你担心自己网站存在这个问题，可以安装TimThumb Vulnerability Scanner插件进行检查。

下图是2012年以来受TimThumb漏洞而被入侵网站的趋势图：