超过70%的公共WordPress网站运行过时的PHP版本,容易遭受网络攻击

admin 2026-07-11 04:51:17 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 一项分析显示超过70%的公共WordPress网站运行过时的PHP版本如PHP7.4已停止维护,导致严重安全漏洞。Censys研究316500个部署发现仅30%使用受支持版本。WordPress核心更新较频繁但底层PHP被忽视,攻击者利用未修补漏洞大规模入侵。建议组织及时升级PHP并注意插件更新以降低风险。 综合评分: 79 文章分类: 漏洞分析,安全建设,web安全,安全意识,解决方案


cover_image

超过70%的公共WordPress网站运行过时的PHP版本,容易遭受网络攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年7月8日 19:05 北京

在小说阅读器读本章

去阅读

一项新的分析揭示了全球网络生态系统中存在一个重大的安全漏洞。超过70%的公开WordPress网站运行的是过时的、已停止维护(EOL)的PHP版本,这大大增加了它们遭受网络攻击的风险。

这些发现凸显了组织在管理其后端基础设施方面存在的系统性问题,尤其考虑到 WordPress 仍然是领先的内容管理系统 (CMS),截至 2026 年 6 月,超过 40% 的网站和超过 5900 万个可公开访问的实例都由 WordPress 提供支持。

WordPress 网站运行的是过时的 PHP 版本

Censys 的研究调查了超过 316,500 个具有可见版本数据的 WordPress 部署,发现只有 30% 使用的是受支持的 PHP 版本。

大多数网站仍然依赖于已弃用的版本,例如 PHP 7.4,该版本已于 2022 年 11 月停止支持。相比之下,WordPress 核心更新似乎更为频繁;约 31% 的网站运行的是受支持的版本,包括 WordPress 6.9,但只有 14% 的网站使用的是最新版本 WordPress 7.0。

WordPress 和 PHP 版本暴露

| 指标 | 价值 | | — | — | | 公开可见的 WordPress 实例(2026 年 6 月) | 超过 5900 万个网络实体 | | 具有可见 PHP/WP 标头的 WordPress 实例 | 超过 316,500 个网站 | | 基于最新版 WordPress (7.0) 的 WordPress 网站 | 约44,000人(14%) | | 在受支持的 WordPress(6.9 或更高版本)上运行的 WordPress 网站 | 约99,000人(31%) | | 使用当前 PHP 补丁的 WordPress 网站 | 约94,000人(30%) | | WordPress 网站使用过时的 PHP 版本 | 超过70%的观察人群 | | 最常见的 PHP 版本 | PHP 7.4(2022年11月停止维护) |

这种差异表明,管理员专注于更新前端 CMS,而忽略了底层 PHP 运行时,从而造成了严重的安全盲点。

使用过时的 PHP 版本会造成高风险的攻击面,因为存在未修补的漏洞、缺乏安全支持以及与现代安全防御措施可能存在的兼容性问题。

由于 PHP 是 WordPress 主题和插件生态系统的基础,因此该层面的任何漏洞都可能影响整个应用程序堆栈。攻击者正积极利用这一漏洞,瞄准更容易大规模入侵的旧式环境。这个问题不仅限于 WordPress,也反映了整个 CMS 驱动型基础设施的更广泛趋势。

延迟 PHP 升级的一个关键原因是运维方面的不便。网站所有者经常会提到升级后功能失效、插件不兼容以及复杂的迁移路径等问题,这些都是阻碍他们进行升级的因素。

PHP 的升级模型假定版本以增量方式过渡,这使得运行严重过时版本的系统升级过程变得复杂。因此,许多组织无限期地推迟更新,实际上是在生产环境中运行已知漏洞。

对插件日益增长的依赖加剧了这个问题。截至2026年中期,近750万个WordPress网站使用插件,其中超过500万个网站安装了Yoast SEO等热门工具。

然而,补丁更新机制并不统一;只有不到 22% 的 Yoast 用户运行的是最新版本。插件会引入额外的攻击途径,而且通常监管力度较弱,并存在大量严重漏洞。

例如,像 UpdraftPlus 这样广泛使用的插件就面临过多个高风险的 CVE 漏洞,包括身份验证绕过和数据泄露漏洞。攻击者还会通过供应链攻击、植入后门的更新以及恶意克隆合法软件等手段来利用插件生态系统。

这些漏洞造成的实际后果在持续不断的攻击活动中显而易见,例如“Hacked By MR.GREEN”网站篡改行动。该行动至少从2020年开始,并将持续到2026年,已入侵超过900个网站,其中大部分是基于WordPress的内容管理系统。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《超过70%的公共WordPress网站运行过时的PHP版本,容易遭受网络攻击》

评论:0   参与:  0