如今，有 2100 萬個(gè)網(wǎng)站使用排名前 20 位的內(nèi)容管理系統(tǒng) (CMS)，可以訪問超過 67,000 個(gè)免費(fèi)插件。根據(jù) BuiltWithTrends，WordPress 是迄今為止最受歡迎的內(nèi)容管理系統(tǒng)，擁有 51% 的市場份額。這些 CMS 對于處理客戶憑證和金融交易的企業(yè)來說是否安全？在理解了 CMS 的基本功能之后，我們將了解這一點(diǎn)。

什么是內(nèi)容管理系統(tǒng)？

內(nèi)容管理系統(tǒng)是允許添加、更新和發(fā)布數(shù)字內(nèi)容的一組或一組應(yīng)用程序。它是您更改網(wǎng)站設(shè)計(jì)、更新產(chǎn)品詳細(xì)信息、上傳圖片或視頻以及進(jìn)行其他更改的結(jié)構(gòu)化工具。

幾十年前，企業(yè)不得不在沒有設(shè)計(jì)模板或應(yīng)用程序的情況下從頭開始構(gòu)建網(wǎng)站。對于內(nèi)容管理，他們依賴開發(fā)人員在每次發(fā)生變化時(shí)更新 HTML。

WordPress 和Drupal等公共或開源或免費(fèi) CMS徹底改變了網(wǎng)站的創(chuàng)建和管理方式。它們允許企業(yè)控制網(wǎng)站，而無需為更新產(chǎn)品描述等簡單功能編寫代碼。營銷或銷售團(tuán)隊(duì)中的任何人今天都可以做到。對于自定義應(yīng)用程序要求，他們可以使用免費(fèi)的插件應(yīng)用程序或要求開發(fā)團(tuán)隊(duì)創(chuàng)建一個(gè)新應(yīng)用程序并將其上傳到 CMS。簡單的

內(nèi)容管理系統(tǒng)中的固有漏洞

據(jù) Data Breach Today 報(bào)道， 2014 年有 800,000 個(gè)銀行憑證被黑客利用 WordPress 網(wǎng)站竊取。同年 11 月 20 日，WordPress 推出了針對跨站點(diǎn)腳本 (XSS)漏洞的安全補(bǔ)丁。

同樣，就在四個(gè)月前，攻擊者利用了 Drupal 中存在 2 年歷史的 SQL 注入漏洞。他們安裝了基于網(wǎng)絡(luò)的勒索軟件，并使用CVE-2014-3704劫持了網(wǎng)站管理員帳戶，后來由 Drupal 對其進(jìn)行了修補(bǔ)。

雖然 CMS 被廣泛使用，但它也被廣泛利用。由于開源社區(qū)管理這些 CMS，因此無法追蹤代碼的來源及其可能存在的漏洞。

即使您使用自動(dòng)掃描或滲透測試發(fā)現(xiàn)漏洞，您也無法在系統(tǒng)中推動(dòng) WordPress 或 Drupal 對其進(jìn)行修補(bǔ)。所以從本質(zhì)上講，人們只能祈禱他們的網(wǎng)站在 CMS 修復(fù)之前不會(huì)被黑客入侵。

平均而言，WordPress、Drupal 和 Joomla 分別在 42、51 和 36 天內(nèi)發(fā)布安全補(bǔ)丁。這是已知漏洞時(shí)網(wǎng)站容易受到攻擊的平均天數(shù)。對于未公布商業(yè)利用的其他漏洞，創(chuàng)建和部署補(bǔ)丁可能需要數(shù)月時(shí)間。

第三方應(yīng)用程序中的安全漏洞

此外，三大 CMS目前提供 70,000 多個(gè)可用插件，任何人都可以上傳或下載。由于 WordPress 擁有最大數(shù)量的第三方應(yīng)用程序 (40,000)，讓我們看看為新應(yīng)用程序編寫代碼并將它們上傳到 CMS 需要什么。

• -零出版費(fèi)
• - 零安全檢查
• -基礎(chǔ)API
• -支持PHP

基本上，任何知道如何編碼的人都可以將插件添加到 WordPress 架構(gòu)中，而我們不知道代碼從何而來。Open?Web Application Security?Project (OWASP) A9 給出了這個(gè)帶有插件的安全漏洞的一般概念。A9 代表“使用已知易受攻擊的組件”。

因此，如果“FancyBox for WordPress”插件易受 SQL 注入攻擊，則所有使用該插件的網(wǎng)站都將易受攻擊，在本例中超過 100,000 個(gè)網(wǎng)站。

Checkmarx 幾年前對 WordPress 插件進(jìn)行了自動(dòng)化測試，發(fā)現(xiàn)所有插件中有 20% 容易受到攻擊，例如SQL Injection。此外，排名前 10 的插件中有 7 個(gè)容易受到應(yīng)用程序攻擊。

這意味著每個(gè)使用這些插件的網(wǎng)站也將容易受到攻擊。

利用這些漏洞困難嗎？

一個(gè)簡單的“查看源代碼”將告訴您網(wǎng)站在其 CMS 上使用的插件。如果其中一個(gè)插件易受攻擊，黑客可以利用它來攻擊該網(wǎng)站。

對于更大規(guī)模的自動(dòng)化攻擊，黑客首先會(huì)在插件中找到漏洞，然后找到數(shù)百萬個(gè)使用該特定第三方應(yīng)用程序的網(wǎng)站。

獨(dú)立保護(hù)您的 CMS

未知代碼組件、第三方應(yīng)用程序和安全補(bǔ)丁的延遲使公共 CMS 容易受到多種應(yīng)用程序攻擊。雖然發(fā)現(xiàn)漏洞是實(shí)現(xiàn)安全的第一步，但您永遠(yuǎn)無法修補(bǔ)它，因?yàn)槟拈_發(fā)人員不擁有 CMS 或插件。即使進(jìn)行深度滲透測試，您也只會(huì)查看漏洞而不會(huì)進(jìn)行任何修復(fù)。這就是Indusface?Total Application Security可以幫助您的地方。它可以找到漏洞并虛擬地修補(bǔ)它們。

虛擬補(bǔ)丁意味著您無需更改應(yīng)用程序代碼中的任何內(nèi)容，但 WAF 會(huì)應(yīng)用特定的策略或規(guī)則，不允許攻擊者利用該特定漏洞。這就像在不更新軟件的情況下自動(dòng)緩解攻擊。