專門提供WordPress網站安全服務的Wordfence本周指出,他們在過去一個月看到同一個駭客集團,針對逾90萬個WordPress網站發動攻擊,企圖將造訪相關網站的使用者導至惡意廣告網站,以及知名資安業者Imperva也在2018年所進行的調查顯示,儘管WordPress是駭客最常鎖定的內容管理平臺(Content Management System),但全球的WordPress網站漏洞,卻有高達98%與外掛程式有關,只有2%涉及WordPress核心。
根據Wordfence的觀察,駭客主要開採外掛程式的跨站指令碼(Cross-Site Scripting,XSS)漏洞,而且鎖定的都是一些名不見經傳的外掛程式,包括Easy2Map、Blog Designer、WP GDPR Compliance、Total Donations及Newspaper等,這些漏洞可能存在幾個月或甚至長達數年之久。 研究人員是在4月28日發現大規模的攻擊行動,那幾天的攻擊量是平常的30倍,而且光是在5月3日,駭客便針對超過50萬個網站展開逾2千萬次的攻擊,近一個月來,有超過90萬個網站遭到來自2.4萬個IP位址的攻擊。
駭客利用這些年代久遠的XSS漏洞,在WordPress網站上植入惡意的JavaScript,以將網站的造訪者引導到惡意廣告網站。
為了避免成為攻擊目標,Wordfence建議WordPress網站所有人應該採用最新的外掛程式,而且刪除或關閉那些已被WordPress外掛市集所移除的程式。
在全球的網站中,有28%是以WordPress架設,若計算全球基於CMS的網站,WordPress的市佔率更高達59%。
市佔率最高的平臺自然也成為駭客的頭號攻擊目標,與排名二、三的Joomla及Drupal相較,WordPress網站在去年出現542個安全漏洞,Joomla不到200個,Drupal則僅有100個。
而Imperva的研究則顯示,WordPress網站的漏洞有高達98%源自於用來擴充網站功能的外掛程式。根據WordPress官網的統計,目前支援WordPress的外掛程式數量接近5.5萬個,基於開源碼的WordPress允許任何人打造及出版外掛程式,且僅採用最低的安全標準,因而漏洞叢生。
最近的例子為線上客服程式WP Live Chat Support,它允許WordPress網站與造訪者進行即時的線上交流,而且可在客戶送出訊息前就看到訊息內容,亦具備檔案或影像分享能力,估計至少有6萬個WordPress網站安裝了WP Live Chat Support。
不過,先是Sucuri Firewall團隊在4月底發現WP Live Chat Support含有常駐的跨站指令碼漏洞。Alert Logic研究團隊繼之於5月初,揭露WP Live Chat Support團隊在去年5月釋出的8.0.11,理應完成CVE‐2018‐12426漏洞的修補,但並沒有真正地解決問題,駭客依然能夠上傳惡意檔案到用戶電腦。
令人不解的是,WP Live Chat Support已在5月15日釋出最新的8.0.27以修補相關漏洞,但WordPress卻在5月17日關閉了WP Live Chat Support的下載服務,且不管是WordPress或WP Live Chat Support團隊,都未提出任何的說明。
不論如何,在使用開源的平臺或外掛程式時,應記得慎選風評良好的開發者。