要说最近爆出漏洞最多的CMS(内容管理系统),非WordPress莫属。当然,其实并不是WordPress自身存在漏洞,而是很多相关插件存在漏洞,主要集中在SQL注入漏洞和XSS跨站脚本漏洞。
国家信息安全漏洞共享平台最近公布的有关WordPress的漏洞清单如下:
1、 WordPress ShareThis Dashboard for Google Analytics plugin授权问题漏洞,公布时间:2025-03-20
2、 WordPress WP JobHunt plugin wp_ajax_google_api_login_callback函数身份验证错误漏洞,公布时间:2025-03-20
3、 WordPress Google News Editors Picks Feed Generator plugin跨站请求伪造漏洞,公布时间:2025-03-20
4、 WordPress Responsive Google Map plugin存在未明漏洞(CNVD-2025-05453),公布时间:2025-03-20
5、 WordPress amoCRM WebForm plugin跨站脚本漏洞,公布时间:2025-03-14
6、 WordPress Awesome Import & Export plugin授权问题漏洞,公布时间:2025-03-14
7、 WordPress Hero Mega Menu plugin SQL注入漏洞,公布时间:2025-03-14
8、 WordPress Master Slider plugin跨站脚本漏洞,公布时间:2025-03-14
这仅仅是国家信息安全漏洞共享平台公布的数据,在CVE还有很多最近公布的WordPress插件漏洞未在国内公布。
要解决这些漏洞,如果想从修复程序思路入手的法,几乎没法搞。先不说修复漏洞,看不看得懂他们的源码都是个大问题。而且官方也不一定及时发布有修复补丁,即使发布了补丁,后期也可能爆出新的漏洞。因此修复程序这条路几乎是无解的。
那么如何防护WordPress的SQL注入攻击和XSS跨站脚本攻击呢?
这就不得不使用第三方防护设备了,一般的WAF都有此功能。我们推荐使用《护卫神.防入侵系统》,其内置SQL 注入防护和XSS跨站攻击防护,可以拦截针对服务器的所有SQL注入攻击和XSS跨站脚本攻击。
(图一:WordPress防SQL注入攻击)
(图二:WordPress防XSS跨站脚本攻击)
(图三:拦截SQL注入攻击)
