為了讓用戶獲得更好的體驗，網(wǎng)站所有者會通過下載很多的插件來幫助他們改善網(wǎng)站的用戶體驗。比如一些炫酷的效果等，然而實際上影響到用戶真正體驗的卻是清晰的導(dǎo)航、頁面的加載反應(yīng)速度以及簡潔干凈的界面。
加載越多的插件，越容易被黑客找到攻擊的漏洞。所以為了減少網(wǎng)站被攻擊的幾率，需要限制安全插件，并且這些插件需要經(jīng)常檢查，保證更新，及時將缺陷進行修補。
據(jù)Sucuri的研究人員稱，一個名為All in One SEO的非常流行的WordPress SEO優(yōu)化插件含有一對安全漏洞，當這些漏洞組合成一個漏洞鏈進行利用時，可能會使網(wǎng)站面臨著被接管的風險。
目前，有超過300萬個網(wǎng)站在使用該插件。那些擁有網(wǎng)站賬戶的攻擊者如訂閱者、購物賬戶持有人或會員可以利用這些漏洞，這些漏洞包括一個權(quán)限提升漏洞和一個SQL注入漏洞。
研究人員指出，WordPress的插件現(xiàn)在仍然是網(wǎng)絡(luò)攻擊者破壞網(wǎng)站的一個重要的途徑。
例如，12月早些時候，在針對160多萬個WordPress網(wǎng)站的主動攻擊中，研究人員發(fā)現(xiàn)有數(shù)千萬次嘗試利用四個不同的插件和幾個Epsilon框架主題的攻擊。
研究人員說："WordPress插件仍然是所有網(wǎng)絡(luò)應(yīng)用的一個主要風險，它們?nèi)匀皇枪粽叩某Ｒ?guī)攻擊目標。通過第三方插件和框架所引入的惡意代碼可以極大地擴展網(wǎng)站的攻擊面"。
新網(wǎng)提醒網(wǎng)站的所有者，需要對第三方插件和框架保持警惕，并保持安全更新，應(yīng)該使用網(wǎng)絡(luò)應(yīng)用程序防火墻來保護網(wǎng)站，以及使用可以發(fā)現(xiàn)網(wǎng)站上存在惡意代碼的解決方案。https://www.xinnet.com/jianzhan/dingzhijianzhan.html