如何避免被脆弱的WordPress插件攻击

我是一个巨大的WordPress因为它是一个非常强大，有效，惊人的可扩展平台这就是它的原因被60.4%的[具有可识别内容管理系统的网站]使用，占所有网站的23.7%。但是任何通过使用第三方软件(在WordPress中称为“插件”)可扩展的平台都有风险:这种风险来自软件漏洞。

造成这些漏洞的部分原因是WordPress相当复杂，因此与插件的交互可能会产生不必要的、有时甚至是危险的安全问题。另一个主要原因是第三方的编码实践可能不够充分，所以像缓冲区溢出和SQL注入这样的哑漏洞可能是插件添加的一些“必须”特性的一部分。有关当前Wordpress漏洞的总结，请查看WPScan漏洞数据库，一个“黑箱WordPress漏洞扫描器”。

如果你运行的是一个WordPress站点，并且已知存在的潜在的停止显示的问题的数量，得到修复，并且被同样糟糕的新问题所取代，那么你需要了解你正在使用的插件以及它们可能存在的问题。除了扫描大量的漏洞通知和检查每个插件的网站新闻外，还有一个免费的插件可以检查你使用的插件是否存在已知问题。它被称为插件的漏洞和发布的WhiteFirDesign。

出版商还提供了另一种免费的插件，插件自动更新正如它的名字所暗示的那样，它会在新版本可用时自动更新你的插件(你也可以设置一个“忽略”列表来从自动更新中排除特定的插件)。

当你激活插件漏洞时，你所有的其他插件都会被检查并与WhiteFirDesign的漏洞数据库相对照。当手动更新插件或通过自动插件更新或其他方法执行更新时，它们也会被重新检查。

截至4月6日，WhiteFirDesign的漏洞统计如下:

• 包括257个漏洞
• 61个包含的漏洞出现在最新版本的插件中(其中57个已经从插件目录中删除)
• 由于我们在这个插件上的工作，24个漏洞已经被部分修复
• 包括安全插件中的漏洞
• 顶级漏洞类型:
  • 跨站请求伪造(CSRF)/跨站脚本攻击(XSS): 52个漏洞
  • 反射跨站脚本(XSS): 45个漏洞
  • 任意文件上传:45个漏洞
  • 任意文件查看:23个漏洞
  • SQL注入:16个漏洞

如果发现了问题，并且你已经启用了这个功能，插件漏洞会给你发送一封警告邮件，并在插件漏洞控制面板页面和通用插件页面上向你发出警告。

简而言之，如果你运行的是WordPress，这个插件是不可缺少的。它可以使你的操作变得流畅、不受干扰，也可以使你在被黑客攻击后花大量时间重新构建你的WordPress站点。

插件的漏洞和自动插件更新插件都得到齿轮头评级为5分之一。