2025 年第一季度 WordPress 漏洞和漏洞的新威胁

WordPress 遭受攻击：2025 年第一季度最危险的漏洞及如何保持保护

2025 年第一季度，WordPress 安全威胁数量激增，大量严重漏洞影响全球数百万个网站。随着攻击者越来越多地利用包括人工智能驱动的漏洞在内的复杂技术，网站所有者现在比以往任何时候都更需要全面的保护策略。本报告研究了 2025 年第一季度最严重的 WordPress 安全威胁，并提供了专家建议以提供强大的保护。

不断演变的 WordPress 威胁形势

WordPress 继续主导着网络生态系统，为数百万个网站提供支持，并通过其广泛的插件和主题生态系统提供无与伦比的灵活性。然而，同样的开放性也使其成为网络犯罪分子的主要目标。攻击者不断扫描过时的软件、未修补的漏洞和错误配置，这些都可能被利用来获得未经授权的访问。

现实令人担忧：许多 WordPress 网站在安全漏洞披露后很长一段时间内仍然容易受到攻击，原因很简单，就是更新被延迟或忽视。根据最近的安全监控，仅上个月就部署了 500 多个新的虚拟补丁来防御新出现的威胁[10]。这凸显了网站所有者面临的一个关键事实——在当今的威胁形势下，仅仅依靠开发人员发布的补丁已经不够了。

在过去一个季度，攻击尝试次数出现了特别明显的激增。攻击者正在利用新旧漏洞，一些安全漏洞在披露后的几天内就收到了数千次攻击尝试。这种模式表明，针对互联网上的 WordPress 安装采取了越来越有组织、越来越系统化的方法。

人工智能在 WordPress 攻击中的作用日益增强

2025 年一个特别令人担忧的发展是人工智能攻击的复杂性不断提高。黑客正在部署人工智能驱动的工具，这些工具可以：

• 在几秒钟内扫描数千个网站以识别易受攻击的 WordPress 安装
• 自动利用已知漏洞，无需人工干预
• 利用自适应技术绕过传统安全措施
• 生成针对 WordPress 管理员的令人信服的网络钓鱼活动

这种人工智能方法使攻击的规模显著扩大，使用传统安全措施更难防御。网站所有者必须采用同样先进的保护机制来应对这些不断演变的威胁。

2025 年第一季度最容易被利用的 WordPress 漏洞

2025 年第一季度，多个严重漏洞被广泛利用。了解这些威胁是实现有效防护的第一步。

1. WordPress 自动插件 - SQL 注入（CVE-2024-27956）

此严重漏洞影响了一款安装量超过 40,000 的流行插件，允许未经身份验证的攻击者对数据库执行任意 SQL 查询。此漏洞存在于通过“auth”POST 参数实现的 CSV 导出功能中。

自发现该漏洞以来，安全研究人员记录了超过 6,500 次利用该插件易受攻击版本的尝试。该威胁尤其严重，因为它不需要身份验证，可能让攻击者访问敏感的数据库信息，包括用户凭据和个人数据。

2. Startklar Elementor 插件 – 任意文件上传 (CVE-2024-4345)

此严重漏洞影响了 WordPress Startklar Elementor Addons 插件，允许未经身份验证的攻击者将任意文件上传到网络服务器，最终导致网站彻底被攻陷。

该漏洞存在于插件的“startklar_drop_zone_upload_process”操作中，该操作未能正确验证上传的文件类型。这一疏忽使任何人都可以上传恶意文件，从而可能实现远程代码执行。安全监控检测到数千次针对此插件易受攻击版本的攻击尝试。

3. Bricks 主题 - 远程代码执行（CVE-2024-25600）

Bricks 主题拥有大约 30,000 名活跃用户，但存在严重的安全漏洞，允许未经身份验证的用户执行任意 PHP 代码，从而可能导致网站完全被接管。

该漏洞是在“prepare_query_vars_from_settings”函数中发现的，该函数通过“bricks/v1/render_element”REST 路由调用。没有实施适当的功能检查，并且插件的随机数检查很容易被绕过，因为任何访问前端的人都可以获得随机数。自漏洞披露以来，已有数百次利用尝试被记录下来。

4. GiveWP 插件 - PHP 对象注入（CVE-2024-8353）

此严重漏洞影响了一款安装量超过 10 万的热门捐赠插件。由于在捐赠过程中对多个参数进行了不当反序列化，该漏洞允许未经身份验证的攻击者执行 PHP 对象注入攻击。

以“give_”或“card_”为前缀的参数容易受到此攻击，最终可能导致网站完全被攻陷。已记录了数百次利用此漏洞的尝试，突显出恶意行为者正在积极利用此漏洞。

2025 年第一季度新出现的严重漏洞

除了最容易被利用的漏洞之外，几个新发现的严重缺陷需要 WordPress 网站所有者立即关注。

1.WP Ghost 插件 - 远程代码执行（CVE-2025-26909）

最近，流行的 WordPress 安全插件 WP Ghost 中发现了一个特别严重的漏洞，影响了超过 20 万个网站。该漏洞编号为 CVE-2025-26909，源于 WordPress 插件中输入验证不足。 显示文件（） 功能。

攻击者可以通过操纵 URL 路径来包含任意文件，从而利用此漏洞，这可能导致远程代码执行。此漏洞的 CVSS 严重性评级为 9.6，是近期 WordPress 安全面临的最严重威胁之一。使用 WP Ghost 的网站所有者应立即更新至 5.4.02 或更高版本。

2. Elementor 必备插件 - 反射型 XSS（CVE-2025-24752）

Essential Addons for Elementor 插件的安装量超过 200 万次，存在一个反射型跨站点脚本漏洞。该漏洞是由于对 弹出选择器 查询参数，允许将恶意值反映回用户。

此漏洞可能被用于窃取敏感信息或以经过身份验证的用户的名义执行操作。此问题已在 6.0.15 版本中修复，所有用户应立即更新。

3. Age Gate 插件 – 本地 PHP 文件包含 (CVE-2025-2505)

WordPress 的 Age Gate 插件安装量超过 40,000 次，经发现，该插件在 3.5.3 及以下所有版本中都存在通过“lang”参数进行本地 PHP 文件包含攻击的漏洞。

此严重漏洞允许未经身份验证的攻击者在服务器上包含并执行任意 PHP 文件，可能导致未经授权的代码执行、数据泄露、权限提升和服务器完全被攻陷。CVSS 评分为 9.8，这对受影响的网站来说是一个极大的风险。

4. HUSKY 产品过滤器 - 本地文件包含（CVE-2025-1661）

HUSKY – Products Filter Professional for WooCommerce 插件在 1.3.6.5 及以上版本中存在严重的本地文件包含漏洞。该漏洞通过 模板 参数 woof_text_搜索 AJAX 动作。

此漏洞允许未经身份验证的攻击者在服务器上包含并执行任意文件，可能导致绕过访问控制、提取敏感数据，甚至在某些条件下执行远程代码。网站所有者应立即更新至 1.3.6.6 或更高版本。

为什么传统安全措施已不再足够

2025 年，WordPress 安全格局将发生根本性变化。有几个因素导致传统安全方法不足：

漏洞利用的速度

现代攻击者在发现漏洞后数小时甚至数分钟内就开始利用漏洞。根据安全监控，仅上个季度就发生了数千起针对最近披露的漏洞的利用尝试。这给网站所有者实施补丁的时间非常有限。

通用 WAF 解决方案的失败

最近的安全事件暴露了通用 Web 应用程序防火墙的重大局限性。在 Bricks 主题漏洞利用期间，“托管公司使用的所有流行 WAF 解决方案都无法阻止 Bricks 攻击”。

这种失败源于一个根本性的限制：通过 DNS/CDN 部署的通用 WAF 缺乏对 WordPress 应用程序组件、已安装插件和用户身份验证状态的可见性。如果没有针对 WordPress 的情报，这些安全解决方案就无法有效防范有针对性的 WordPress 攻击。

攻击方法日益复杂

勒索软件和针对性攻击的复杂性不断演变。根据 GRIT 2025 勒索软件和网络威胁报告，尽管执法部门受到干扰，但以经济为目的的网络犯罪分子仍然具有很强的韧性。这些攻击的初始访问媒介通常包括凭证盗窃和利用新旧漏洞——这正是困扰许多 WordPress 安装的弱点。

2025 年全面的 WordPress 保护策略

面对这些不断演变的威胁，需要专门针对 WordPress 环境设计的多层安全方法。

1. 实施特定于 WordPress 的安全解决方案

通用安全工具已不再足够。网站所有者应实施专门为 WordPress 设计的安全解决方案，这些解决方案可以：

• 监控 WordPress 特定的应用程序组件
• 跟踪已安装的插件及其已知漏洞
• 了解 WordPress 身份验证上下文
• 在官方修复之前部署虚拟补丁以防范已知漏洞

与缺乏 WordPress 特定智能的通用安全工具相比，这种方法提供了更有效的保护。

2.采用虚拟补丁技术

虚拟补丁通过精心设计的防火墙规则消除已知漏洞，实时保护网站，防止攻击者利用未修补的漏洞。网站所有者无需等待官方修复，即可持续抵御新兴威胁。

该技术已被证明非常有效 - 例如，虚拟补丁阻止了超过 6,500 次针对 WordPress 自动插件漏洞的攻击尝试，在许多所有者实施官方更新之前保护了网站。

3. 保持严格的更新实践

虽然虚拟修补提供了关键的保护，但保持定期更新仍然至关重要：

• 尽可能启用 WordPress 核心的自动更新
• 实施插件更新的系统审核流程
• 定期审核已安装的插件并删除未使用的插件
• 考虑在部署之前使用暂存环境来测试更新

这种严谨的方法减少了整体攻击面并确保及时解决已知漏洞。

4. 实施强有力的身份验证控制

由于凭证盗窃仍然是主要的攻击媒介，强身份验证是不可协商的：

• 要求所有用户账户都设置唯一、强大的密码
• 实施双因素身份验证以实现管理访问
• 限制登录尝试以防止暴力攻击
• 定期审核用户帐户并删除不必要的访问权限

这些措施大大降低了通过泄露的凭证进行未经授权访问的风险。

结论

2025 年第一季度表明，WordPress 安全威胁的复杂性和影响不断演变。本报告中讨论的漏洞已影响了数百万个网站，凸显了 WordPress 网站所有者面临的安全挑战的规模。

强大的 WordPress 安全策略必须超越常规更新——它需要实时威胁缓解才能领先于攻击者。虽然官方补丁是必要的，但它们通常是在威胁已经被利用之后才发布的。通过将 WP-Firewall 等主动安全解决方案与定期更新、监控和最小化不必要的插件等智能做法相结合，网站所有者可以构建强大、有弹性的防御，以抵御 2025 年不断演变的网络威胁。

随着我们进入 2025 年，及时了解新出现的漏洞并相应地调整安全策略对于维护 WordPress 网站的安全至关重要。通过正确的方法，尽管威胁形势日益复杂，WordPress 网站仍能保持安全。