WordPress 网站遭遇恶意插件风险

关键要点

大约 25000 个 WordPress 网站被安装了超过 47000 个恶意插件。超过 94 的恶意插件仍在使用中，安装数量在 2012 到 2020 年间持续增长。某些合法市场如 CodeCanyon 和 ThemeForest是恶意插件的主要来源。攻击者利用免费插件的代码并注入恶意代码，借助自动更新进行传播。网站所有者对插件生态系统寄予信任，但却在不知情的情况下造成了损失。

根据 SecurityWeek 的报告显示，从 2012年7月到 2020年7月，近 25000 个 WordPress 网站被安装了超过 47000 个恶意插件，其中超过 94 的插件至今仍在使用。这项由乔治亚理工学院的研究人员进行的研究发现，恶意插件的安装数量在这八年期间稳步上升，并且在 2020年3月达到了峰值。

安易加速器官网正版恶意插件来源数量CodeCanyon超过 3600 个ThemeForestEasy Digital Downloads

研究指出，许多恶意插件并没有隐藏其恶意行为的代码。在受欢迎的免费插件中，攻击者购买其代码库，然后插入恶意代码，等待用户的自动更新。此外，攻击者还伪装成插件作者来分发包含恶意软件的插件。研究人员表示：“虽然网站所有者对插件生态系统充满信任，并为我们数据集中仅插件总共支出了 730 万美元，但我们发现这种信任常常被攻击者利用以获取金钱收益。”

恶意插件在 WordPress 站点中普遍存在媒体