專家透露，與前一年相比，影響不同WordPress 插件的安全漏洞在 2021 年增加了 142%。

分析WordPress生態(tài)系統(tǒng)的狀態(tài)，其中包括大約 58，000 個(gè)免費(fèi)插件，以及數(shù)萬個(gè)可供購買的插件，基于風(fēng)險(xiǎn)的安全性表示，漏洞數(shù)量激增至 2，240 個(gè)是令人震驚的。此外，您還可以將該詞添加到詞典中。執(zhí)行此操作時(shí)，Word將不再將該單詞標(biāo)記為錯(cuò)誤。如果該詞恰好是內(nèi)部風(fēng)格指南或類似內(nèi)容的一部分，這將很有用。。

可是，更令人擔(dān)憂的是這些漏洞的可利用性在所有已知的缺陷中，超過四分之三 是可利用的

首先解決最大的威脅

雖然這些缺陷中的大多數(shù)都是可利用的，但所有這些缺陷的平均 CVSSv2 得分為 5.5，這會(huì)產(chǎn)生潛在的問題大多數(shù)組織傾向于降低嚴(yán)重性評(píng)分低于 7.0 的漏洞的優(yōu)先級(jí)，這不是他們應(yīng)該做的事情

在具有已知漏洞利用的漏洞中，7，592 個(gè)可遠(yuǎn)程利用，7，993 個(gè)具有公共漏洞利用，4，797 個(gè)具有公共漏洞利用，但沒有 CVE ID對(duì)于依賴 CVE/NVD 的組織來說，這尤其令人擔(dān)憂，因?yàn)樗麄儗⒉恢?60% 的已知公共漏洞問題

為了充分了解這些漏洞的影響，組織需要采用基于風(fēng)險(xiǎn)的方法，研究人員總結(jié)道雖然一些 WordPress 插件聲稱擁有超過 500，000 次安裝，但這并不一定意味著所有企業(yè)都在使用它們安全團(tuán)隊(duì)需要了解他們的資產(chǎn)，針對(duì)所有已知問題的全面漏洞情報(bào)以及詳細(xì)的元數(shù)據(jù)，以便他們檢查可利用性等因素，然后將其對(duì)環(huán)境構(gòu)成的風(fēng)險(xiǎn)置于上下文中

在對(duì)威脅進(jìn)行分類時(shí)，安全專業(yè)人員應(yīng)首先從可遠(yuǎn)程利用的威脅開始，然后再轉(zhuǎn)向那些具有公開利用并擁有已知解決方案的威脅如果 WordPress 插件問題影響重要資產(chǎn)，則應(yīng)首先對(duì)這些資產(chǎn)進(jìn)行分類

通過修復(fù)這些類型的問題，組織可以最好地保護(hù)自己免受潛在攻擊，同時(shí)由于解決方案數(shù)據(jù)可用，因此可以節(jié)省時(shí)間這種基于風(fēng)險(xiǎn)的方法將被證明比基于嚴(yán)重性的傳統(tǒng)漏洞管理模型更有效，研究人員總結(jié)道