如今，有2100万个网站使用排名前20位的内容管理系统(CMS)，可以访问超过67,000个免费插件。根据BuiltWithTrends，WordPress是迄今为止最受欢迎的内容管理系统，拥有51%的市场份额。这些CMS对于处理客户凭证和金融交易的企业来说是否安全？在理解了CMS的基本功能之后，我们将了解这一点。

内容管理系统是允许添加、更新和发布数字内容的一组或一组应用程序。它是您更改网站设计、更新产品详细信息、上传图片或视频以及进行其他更改的结构化工具。

几十年前，企业不得不在没有设计模板或应用程序的情况下从头开始构建网站。对于内容管理，他们依赖开发人员在每次发生变化时更新HTML。

WordPress和Drupal等公共或开源或免费CMS彻底改变了网站的创建和管理方式。它们允许企业控制网站，而无需为更新产品描述等简单功能编写代码。营销或销售团队中的任何人今天都可以做到。对于自定义应用程序要求，他们可以使用免费的插件应用程序或要求开发团队创建一个新应用程序并将其上传到CMS。简单的

据DataBreachToday报道，2014年有800,000个银行凭证被黑客利用WordPress网站窃取。同年11月20日，WordPress推出了针对跨站点脚本(XSS)漏洞的安全补丁。

同样，就在四个月前，攻击者利用了Drupal中存在2年历史的SQL注入漏洞。他们安装了基于网络的勒索软件，并使用CVE-2014-3704劫持了网站管理员帐户，后来由Drupal对其进行了修补。

虽然CMS被广泛使用，但它也被广泛利用。由于开源社区管理这些CMS，因此无法追踪代码的来源及其可能存在的漏洞。

即使您使用自动扫描或渗透测试发现漏洞，您也无法在系统中推动WordPress或Drupal对其进行修补。所以从本质上讲，人们只能祈祷他们的网站在CMS修复之前不会被黑客入侵。

第三方应用程序中的安全漏洞

此外，三大CMS目前提供70,000多个可用插件，任何人都可以上传或下载。由于WordPress拥有最大数量的第三方应用程序(40,000)，让我们看看为新应用程序编写代码并将它们上传到CMS需要什么。

基本上，任何知道如何编码的人都可以将插件添加到WordPress架构中，而我们不知道代码从何而来。Open?WebApplicationSecurity?Project(OWASP)A9给出了这个带有插件的安全漏洞的一般概念。A9代表“使用已知易受攻击的组件”。

因此，如果“FancyBoxforWordPress”插件易受SQL注入攻击，则所有使用该插件的网站都将易受攻击，在本例中超过100,000个网站。

Checkmarx几年前对WordPress插件进行了自动化测试，发现所有插件中有20%容易受到攻击，例如SQLInjection。此外，排名前10的插件中有7个容易受到应用程序攻击。

这意味着每个使用这些插件的网站也将容易受到攻击。

一个简单的“查看源代码”将告诉您网站在其CMS上使用的插件。如果其中一个插件易受攻击，黑客可以利用它来攻击该网站。

对于更大规模的自动化攻击，黑客首先会在插件中找到漏洞，然后找到数百万个使用该特定第三方应用程序的网站。

未知代码组件、第三方应用程序和安全补丁的延迟使公共CMS容易受到多种应用程序攻击。虽然发现漏洞是实现安全的第一步，但您永远无法修补它，因为您的开发人员不拥有CMS或插件。即使进行深度渗透测试，您也只会查看漏洞而不会进行任何修复。这就是Indusface?TotalApplicationSecurity可以帮助您的地方。它可以找到漏洞并虚拟地修补它们。

虚拟补丁意味着您无需更改应用程序代码中的任何内容，但WAF会应用特定的策略或规则，不允许攻击者利用该特定漏洞。这就像在不更新软件的情况下自动缓解攻击。