一项新研究发现,在用于WordPress平台的50个最流行的插件中,大约有20%容易受到常见的Web攻击。根据安全厂商Checkmarx的研究,该数字代表将近800万的插件下载,这些插件容易受到SQL注入,跨站点脚本编写,跨站点请求伪造和路径遍历等问题的影响。此外,研究表明,在WordPress最受欢迎的十大电子商务插件中,有七个也容易受到攻击,转化为超过170万次下载。
Checkmarx认为,研究结果表明问题比风险问题更深。问题的根源在于平台即服务(PaaS)提供商在分发它们的应用程序时缺乏安全性测试和标准,以及Web管理员未能全力以赴确保插件是安全的。
Checkmarx的首席技术官Maty Siman在接受采访时说:“首先,网络管理员认为,如果他们从信誉良好的来源下载这些插件,那么就可以假设他们正在接收一个安全的插件。” “我们认为,这是最大的因素。
他说,网络管理员还面临着安排问题和确定优先级的挑战,并解释说,并不是所有人都知道一旦扫描源代码并发现漏洞,该怎么办。
他说:“对于基本的Web管理员来说,缓解这些问题非常困难。这不是一个简单的过程。”
Checkmarx进行的首次扫描发生在2013年1月,它显示了50个最流行的插件中的18个存在漏洞。2013年6月进行的第二次扫描显示,该数字已减少至12。
西曼说:“作为从事源代码和安全性工作的人,我们不能说我们对漏洞感到惊讶。” “但是,漏洞的数量占前50个插件的惊人比例高达20%,这非常令人惊讶。尤其是电子商务插件令人惊讶,因为您与电子商务相关的人员会认为会更加关注其插件的整体安全性。”
尽管每行代码都有可能引入漏洞,但Checkmarx发现,代码行数与插件的漏洞级别之间没有关联。相反,根据该公司的论文,某些插件仅包含几千行代码,但比包含数万行代码的插件具有更多的漏洞。
据Checkmarx称,WordPress网站的管理员只能从信誉良好的来源(在本例中为WordPress.org)下载插件。此外,应通过扫描插件的安全性问题来评估插件的安全性。应删除旧的或未使用的插件。
同时,应用程序平台提供商需要对进入市场的应用程序实施安全策略,并确保仅授权符合其标准的应用程序。
Siman 在博客文章中指出: “世界正在向软件分发平台转移。” “应用程序市场继续告诉我们他们的平台是安全的,但不要购买那些文字游戏。只有当它们开始加强所分发的应用程序的安全性时,我们才能认真讨论分发平台的安全性。”