根据Wordfence的数据,盗版主题和插件是2020年WordPress网站上最常见的恶意软件感染源,一家为WordPress网站提供网站应用防火墙(WAF)解决方案的提供商。
这家安全公司表示,其恶意软件扫描程序在2020年的120多万个WordPress网站上检测到超过7000万个恶意文件。
“总的来说,Wordfence扫描程序在206000个网站上发现了源自无效插件或主题的恶意软件,该公司周三表示,占所有受感染网站的17%以上。
在这20.6万个网站中,有154928个网站感染了WP-VCD恶意软件,WordPress的一个恶意软件变种,以使用盗版/无效主题进行传播而闻名。
Wordfence说,去年这一特定的恶意软件操作非常成功,在2020年占所有受感染网站的13%。
但是WordPress网站也通过其他方式感染了恶意软件超越盗版主题。合法网站也受到攻击和感染。这些网站被黑客入侵的其他方法包括对登录表单的暴力攻击和利用未修补漏洞的漏洞攻击代码。
总之,就暴力攻击而言,2020年是一个巨大的一年。Wordfence报告称,有超过900亿次恶意和自动登录尝试。
这些攻击来自5700万个不同的IP地址(很可能是攻击僵尸网络和代理网络的一部分),每秒针对Wordfence客户的恶意登录尝试达2800次。
为了减轻这些攻击,Wordfence建议网站所有者为其帐户部署WAF或启用双因素身份验证解决方案。
在漏洞攻击方面,情况同样糟糕,Wordfence在过去一年中报告了超过43亿次的攻击尝试。
攻击者去年利用的最常见的漏洞形式是“目录遍历”,这是一种威胁参与者试图滥用的漏洞,从WordPress安装(如wp)读取文件-配置.php)或者在WordPress上上传恶意文件站点。
其他攻击尝试也依赖于SQL注入、远程代码执行错误、跨站点脚本问题或身份验证绕过,Wordfence说。
