伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件，如 initiatorseo 和 updrat123 等。

...

外媒 1 月 23 日消息，安全研究人员近期公布了 2017 年 WordPress 插件和主题漏洞的统计数据，这些数据来源于 ThreatPress 最新的 WordPress 漏洞数据库。据悉，目前 ThreatPress 正在监视大量的数据源，以便实时向数据库中添加新的漏洞。

2017 年整体统计数据

2017 年 ThreatPress 在其数据库中添加了 221 个漏洞，总数较之前减少了 69 ％。数据显示， 跨站脚本（XSS）与 2016 年一样，仍然位列榜首。研究人员猜测是因为许多开发人员不重视转义数据输出，才导致了越来越多的 WordPress 插件和主题受到跨站点脚本（XSS）漏洞的攻击。此外， SQL 注入漏洞在 2017 年也大幅上升。

...