2025 年第一季 WordPress 漏洞和漏洞的新威脅

WordPress 遭受攻擊：2025 年第一季最危險的漏洞及如何維持保護

2025 年第一季度，WordPress 安全威脅出現了驚人的激增，大量嚴重漏洞影響全球數百萬個網站。隨著攻擊者越來越多地利用包括人工智慧驅動的漏洞在內的複雜技術，網站所有者現在比以往任何時候都更需要全面的保護策略。本報告研究了 2025 年第一季最嚴重的 WordPress 安全威脅，並提供了專家建議以實現強有力的保護。

不斷演變的 WordPress 威脅情勢

WordPress 繼續主導網路生態系統，為數百萬個網站提供支持，並透過其廣泛的插件和主題生態系統提供無與倫比的靈活性。然而，同樣的開放性也使其成為網路犯罪分子的主要目標。攻擊者不斷掃描過時的軟體、未修補的漏洞和錯誤配置，這些都可能被利用來獲取未經授權的存取。

現實情況令人擔憂：許多 WordPress 網站在安全漏洞揭露後很長一段時間內仍然存在漏洞，只是因為更新被延遲或忽視。根據最近的安全監控，光是上個月就部署了超過 500 個新的虛擬修補程式來防禦新出現的威脅[10]。這向網站所有者凸顯了一個關鍵的事實——在當今的威脅情況下，僅僅依靠開發人員發布的補丁已經不夠了。

過去一個季度，漏洞攻擊嘗試出現了特別猛烈的成長。攻擊者正在利用新舊漏洞，一些安全漏洞在披露後的幾天內就受到了數千次利用嘗試。這種模式表明，針對網路上的 WordPress 安裝採取了一種越來越有組織、越來越系統化的方法來定位。

人工智慧在 WordPress 攻擊中的作用日益增強

2025 年的一個特別令人擔憂的發展是人工智慧攻擊的複雜性日益提高。駭客正在部署人工智慧驅動的工具，這些工具可以：

• 在幾秒鐘內掃描數千個網站以識別易受攻擊的 WordPress 安裝
• 自動利用已知漏洞，無需人工幹預
• 利用自適應技術繞過傳統安全措施
• 產生針對 WordPress 管理員的令人信服的網路釣魚活動

這種人工智慧方法使攻擊的可擴展性顯著提高，並且更難以使用傳統安全措施進行防禦。網站所有者必須採用同樣先進的保護機制來應對這些不斷演變的威脅。

2025 年第一季最容易被利用的 WordPress 漏洞

2025 年第一季度，多個嚴重漏洞正被積極利用。了解這些威脅是採取有效保護的第一步。

1. WordPress 自動外掛 - SQL 注入（CVE-2024-27956）

這個嚴重的漏洞影響了一個擁有超過 40,000 個安裝的流行插件，並允許未經身份驗證的攻擊者在資料庫上執行任意 SQL 查詢。此漏洞存在於透過「auth」POST 參數的 CSV 匯出功能中。

自從發現漏洞以來，安全研究人員記錄了超過 6,500 次利用該外掛漏洞版本的嘗試。這種威脅尤其嚴重，因為它不需要身份驗證，可能讓攻擊者存取敏感資料庫信息，包括用戶憑證和個人資料。

2. Startklar Elementor Addons – 任意檔案上傳（CVE-2024-4345）

此嚴重漏洞影響了 WordPress Startklar Elementor Addons 插件，允許未經身份驗證的攻擊者將任意檔案上傳到網頁伺服器，最終導致網站徹底被攻陷。

該漏洞存在於外掛程式的「startklar_drop_zone_upload_process」操作中，該操作未能正確驗證上傳的檔案類型。這種疏忽使得任何人都可以上傳惡意文件，從而可能導致遠端程式碼執行。安全監控偵測到數千次針對該外掛易受攻擊版本的攻擊嘗試。

3. Bricks 主題 - 遠端執行程式碼（CVE-2024-25600）

Bricks 主題擁有約 30,000 名活躍用戶，但存在嚴重的安全漏洞，允許未經身份驗證的用戶執行任意 PHP 程式碼，可能導致網站完全被接管。

該漏洞是在透過「bricks/v1/render_element」REST 路由呼叫的「prepare_query_vars_from_settings」函數中發現的。沒有實施適當的功能檢查，並且可以輕鬆繞過插件的隨機數檢查，因為任何訪問前端的人都可以獲得隨機數。自從該漏洞披露以來，已記錄了數百次利用該漏洞的嘗試。

4. GiveWP 外掛 - PHP 物件注入（CVE-2024-8353）

此嚴重漏洞影響了安裝量超過 100,000 個的流行捐贈插件。由於捐贈過程中多個參數的反序列化不當，此漏洞允許未經身份驗證的攻擊者執行 PHP 物件注入攻擊。

以「give_」或「card_」為前綴的參數容易受到此攻擊，最終可能導致網站完全被攻陷。已記錄了數百次利用嘗試，突顯惡意行為者積極針對此漏洞。

2025 年第一季新出現的嚴重漏洞

除了最容易被利用的漏洞之外，幾個新發現的嚴重缺陷需要 WordPress 網站所有者立即關注。

1.WP Ghost 外掛 - 遠端執行（CVE-2025-26909）

受歡迎的 WordPress 安全外掛 WP Ghost 最近被發現一個特別嚴重的漏洞，影響了超過 20 萬個網站。此漏洞編號為 CVE-2025-26909，源自 顯示文件（） 功能。

攻擊者可以透過操縱 URL 路徑來包含任意檔案來利用此漏洞，從而可能導致遠端程式碼執行。此漏洞的 CVSS 嚴重性等級為 9.6，是近期 WordPress 安全性面臨的最嚴重威脅之一。使用 WP Ghost 的網站所有者應立即更新至 5.4.02 或更高版本。

2. Elementor 必備插件 - 反射型 XSS（CVE-2025-24752）

安裝量超過 200 萬的 Essential Addons for Elementor 外掛程式遭受反射型跨站點腳本漏洞攻擊。該缺陷是由於對 彈出選擇器 查詢參數，允許將惡意值反映回使用者。

此漏洞可能被用於竊取敏感資訊或以經過身份驗證的使用者的名義執行操作。該問題已在 6.0.15 版本中修復，所有用戶應立即更新。

3. Age Gate 外掛程式 – 本地 PHP 檔案包含 (CVE-2025-2505)

WordPress 的 Age Gate 外掛程式安裝量超過 40,000 次，經發現，該外掛程式在 3.5.3 及以下所有版本中都存在透過「lang」參數進行本地 PHP 檔案包含攻擊的漏洞。

此嚴重漏洞允許未經身份驗證的攻擊者在伺服器上包含並執行任意 PHP 文件，可能導致未經授權的程式碼執行、資料外洩、權限提升和完全的伺服器入侵。 CVSS 評分為 9.8，這對受影響的網站來說意味著極大的風險。

4. HUSKY 產品過濾器 - 本地文件包含（CVE-2025-1661）

HUSKY – Products Filter Professional for WooCommerce 外掛程式在 1.3.6.5 及以下所有版本中都存在嚴重的本地文件包含漏洞。該缺陷存在於 範本 參數 woof_text_搜尋 AJAX 動作。

該漏洞允許未經身份驗證的攻擊者在伺服器上包含並執行任意文件，可能導致繞過存取控制，提取敏感數據，甚至在某些條件下執行遠端程式碼。網站所有者應立即更新至 1.3.6.6 或更高版本。

為什麼傳統安全措施已不再足夠

2025 年，WordPress 安全格局將發生根本性變化。有幾個因素導致傳統安全方法不足：

漏洞利用的速度

現代攻擊者在發現漏洞後的幾小時甚至幾分鐘內就開始利用漏洞。根據安全監控顯示，光是上個季度就發生了數千起針對最近揭露的漏洞的利用嘗試。這使得網站所有者只有極短的時間來實施補丁。

通用 WAF 解決方案的失敗

最近的安全事件暴露了通用 Web 應用程式防火牆的重大限制。在 Bricks 主題漏洞利用期間，「託管公司使用的所有流行的 WAF 解決方案都無法阻止 Bricks 攻擊」。

此失敗源於一個根本限制：透過 DNS/CDN 部署的通用 WAF 缺乏對 WordPress 應用程式元件、已安裝的外掛程式和使用者驗證狀態的可見性。如果沒有針對 WordPress 的特定智能，這些安全解決方案就無法有效防禦有針對性的 WordPress 攻擊。

攻擊方法日益複雜

勒索軟體和有針對性的攻擊繼續變得越來越複雜。根據 GRIT 2025 勒索軟體和網路威脅報告，儘管執法部門受到干擾，但以經濟為目的的網路犯罪分子仍然具有很強的韌性。這些攻擊的初始存取媒介通常包括憑證盜竊以及利用新漏洞和歷史漏洞——這正是困擾許多 WordPress 安裝的弱點。

2025 年全面的 WordPress 保護策略

面對這些不斷演變的威脅，需要專門針對 WordPress 環境設計的多層安全方法。

1. 實施特定於 WordPress 的安全解決方案

通用的安全工具已不再足夠。網站所有者應實施專為 WordPress 設計的安全解決方案，該解決方案可以：

• 監控 WordPress 特定的應用程式元件
• 追蹤已安裝的插件及其已知漏洞
• 了解 WordPress 驗證上下文
• 在官方修復前部署虛擬修補程式以符合已知漏洞

與缺乏 WordPress 特定智慧的通用安全工具相比，這種方法提供了更有效的保護。

2.採用虛擬補丁技術

虛擬修補程式透過精心設計的防火牆規則消除已知漏洞，即時保護網站並防止攻擊者利用未修補的漏洞。網站所有者無需等待官方修復，就可以持續防禦新出現的威脅。

該技術已被證明非常有效 - 例如，虛擬修補程式阻止了超過 6,500 次針對 WordPress 自動外掛漏洞的攻擊嘗試，在許多所有者實施官方更新之前保護了網站。

3. 保持嚴格的更新實踐

雖然虛擬修補提供了關鍵的保護，但保持定期更新仍然至關重要：

• 盡可能啟用 WordPress 核心的自動更新
• 實施插件更新的系統審核流程
• 定期審核已安裝的插件並刪除未使用的插件
• 考慮使用臨時環境在部署之前測試更新

這種嚴謹的方法減少了整體攻擊面並確保及時解決已知漏洞。

4. 實施強而有力的身份驗證控制

由於憑證盜竊仍然是主要的攻擊媒介，強身份驗證是不可協商的：

• 要求所有使用者帳號都設定唯一、強大的密碼
• 實施雙重認證以實現管理訪問
• 限制登入嘗試以防止暴力攻擊
• 定期審核使用者帳戶並刪除不必要的存取權限

這些措施大大降低了透過洩漏的憑證進行未經授權存取的風險。

結論

2025 年第一季表明，WordPress 安全威脅的複雜性和影響力不斷發展。本報告中討論的漏洞已影響數百萬個網站，凸顯了 WordPress 網站所有者面臨的安全挑戰的規模。

強大的 WordPress 安全策略必須超越常規更新——它需要即時威脅緩解才能領先攻擊者。雖然官方補丁是必要的，但它們通常是在威脅已經被利用之後才發布的。透過將 WP-Firewall 等主動安全解決方案與定期更新、監控和最小化不必要的插件等智慧實踐相結合，網站所有者可以建立強大、有彈性的防禦，抵禦 2025 年不斷演變的網路威脅。

隨著我們進入 2025 年，隨時了解新出現的漏洞並相應地調整安全策略對於維護 WordPress 網站安全至關重要。透過正確的方法，儘管威脅情況日益複雜，WordPress 網站仍能保持安全。