如今，有 2100 萬個網站使用排名前 20 位的內容管理系統 (CMS)，可以訪問超過 67,000 個免費插件。根據 BuiltWithTrends，WordPress 是迄今為止最受歡迎的內容管理系統，擁有 51% 的市場份額。這些 CMS 對于處理客戶憑證和金融交易的企業來說是否安全？在理解了 CMS 的基本功能之后，我們將了解這一點。

什么是內容管理系統？

內容管理系統是允許添加、更新和發布數字內容的一組或一組應用程序。它是您更改網站設計、更新產品詳細信息、上傳圖片或視頻以及進行其他更改的結構化工具。

幾十年前，企業不得不在沒有設計模板或應用程序的情況下從頭開始構建網站。對于內容管理，他們依賴開發人員在每次發生變化時更新 HTML。

WordPress 和Drupal等公共或開源或免費 CMS徹底改變了網站的創建和管理方式。它們允許企業控制網站，而無需為更新產品描述等簡單功能編寫代碼。營銷或銷售團隊中的任何人今天都可以做到。對于自定義應用程序要求，他們可以使用免費的插件應用程序或要求開發團隊創建一個新應用程序并將其上傳到 CMS。簡單的

內容管理系統中的固有漏洞

據 Data Breach Today 報道， 2014 年有 800,000 個銀行憑證被黑客利用 WordPress 網站竊取。同年 11 月 20 日，WordPress 推出了針對跨站點腳本 (XSS)漏洞的安全補丁。

同樣，就在四個月前，攻擊者利用了 Drupal 中存在 2 年歷史的 SQL 注入漏洞。他們安裝了基于網絡的勒索軟件，并使用CVE-2014-3704劫持了網站管理員帳戶，后來由 Drupal 對其進行了修補。

雖然 CMS 被廣泛使用，但它也被廣泛利用。由于開源社區管理這些 CMS，因此無法追蹤代碼的來源及其可能存在的漏洞。

即使您使用自動掃描或滲透測試發現漏洞，您也無法在系統中推動 WordPress 或 Drupal 對其進行修補。所以從本質上講，人們只能祈禱他們的網站在 CMS 修復之前不會被黑客入侵。

平均而言，WordPress、Drupal 和 Joomla 分別在 42、51 和 36 天內發布安全補丁。這是已知漏洞時網站容易受到攻擊的平均天數。對于未公布商業利用的其他漏洞，創建和部署補丁可能需要數月時間。

第三方應用程序中的安全漏洞

此外，三大 CMS目前提供 70,000 多個可用插件，任何人都可以上傳或下載。由于 WordPress 擁有最大數量的第三方應用程序 (40,000)，讓我們看看為新應用程序編寫代碼并將它們上傳到 CMS 需要什么。

• -零出版費
• - 零安全檢查
• -基礎API
• -支持PHP

基本上，任何知道如何編碼的人都可以將插件添加到 WordPress 架構中，而我們不知道代碼從何而來。Open?Web Application Security?Project (OWASP) A9 給出了這個帶有插件的安全漏洞的一般概念。A9 代表“使用已知易受攻擊的組件”。

因此，如果“FancyBox for WordPress”插件易受 SQL 注入攻擊，則所有使用該插件的網站都將易受攻擊，在本例中超過 100,000 個網站。

Checkmarx 幾年前對 WordPress 插件進行了自動化測試，發現所有插件中有 20% 容易受到攻擊，例如SQL Injection。此外，排名前 10 的插件中有 7 個容易受到應用程序攻擊。

這意味著每個使用這些插件的網站也將容易受到攻擊。

利用這些漏洞困難嗎？

一個簡單的“查看源代碼”將告訴您網站在其 CMS 上使用的插件。如果其中一個插件易受攻擊，黑客可以利用它來攻擊該網站。

對于更大規模的自動化攻擊，黑客首先會在插件中找到漏洞，然后找到數百萬個使用該特定第三方應用程序的網站。

獨立保護您的 CMS

未知代碼組件、第三方應用程序和安全補丁的延遲使公共 CMS 容易受到多種應用程序攻擊。雖然發現漏洞是實現安全的第一步，但您永遠無法修補它，因為您的開發人員不擁有 CMS 或插件。即使進行深度滲透測試，您也只會查看漏洞而不會進行任何修復。這就是Indusface?Total Application Security可以幫助您的地方。它可以找到漏洞并虛擬地修補它們。

虛擬補丁意味著您無需更改應用程序代碼中的任何內容，但 WAF 會應用特定的策略或規則，不允許攻擊者利用該特定漏洞。這就像在不更新軟件的情況下自動緩解攻擊。