Wordpress是一种很受欢迎的网站建设平台，但正因为它的广泛使用，我们更要关注这些常见的wordpress漏洞：

1. Wordpress - DoS - Numbers Botnet：DoS（拒绝服务攻击）则是一种网络攻击方式，Numbers Botnet是一种DoS攻击工具，可以利用大量被感染的计算机对目标网站进行攻击。

2. Wordpress - Command Injection：这也是一个常见的安全漏洞，攻击者可以通过在Wordpress网站的输入框中注入恶意命令，执行攻击者想要的操作，例如删除数据、篡改数据等等。

3. Anomaly:Header:User-Agent - Known Bot：这是一个基于网络流量分析的安全警告，表示一个未知的机器人（bot）正在访问网站并进行可能威胁到安全的活动。这个警告通常用于检测恶意机器人，例如爬虫、扫描工具等。

4. Wordpress:Plugin:W3 Total Cache：W3 Total Cache是一个优化WordPress网站性能的插件，但是它曾经存在安全漏洞，攻击者可以利用这个漏洞注入恶意代码，执行攻击者想要的操作，例如篡改网站数据、窃取敏感信息等等。

5. Wordpress:Plugin:WP Super Cache code injection：和W3 Total Cache类似，WP Super Cache是另一个常见的WordPress缓存插件，也曾经存在安全漏洞。攻击者可以利用这个漏洞注入恶意代码，例如在网站中插入广告或重定向到其他恶意站点等等。这种攻击方式被称为代码注入或代码执行攻击。

6.Anomaly:URL:Path - CDorked.A - File /favicon.iso：这是一个关于恶意软件CDorked.A的安全警告。CDorked.A是一种恶意软件，通过修改Web服务器的二进制文件（如Apache、Nginx等）实现感染，攻击者使用它来控制服务器，窃取敏感信息或者利用服务器进行其他攻击活动。Anomaly:URL:Path - CDorked.A - File /favicon.iso 是一个和CDorked.A相关的安全警告，它表示在网络流量中检测到了一种异常的URL路径 /favicon.iso，这很可能是CDorked.A感染服务器后所添加的恶意文件路径。如果你是服务器管理员，请务必尽快检查并清除该文件以确保服务器安全。

7. Wordpress - DoS - Pingback: WordPress的Pingback是一种协议，它使得在WordPress站点之间互相交换链接变得容易。当一篇WordPress文章包含链接到另一篇WordPress文章时，会自动尝试通过Pingback协议向那篇文章的站点发送一个Pingback请求，告诉对方站点自己的文章链接已经链接到了他站点的某篇文章。对方站点如果接受了请求，就会在那篇文章的评论区中显示一个自动回复，通常内容类似这样："Site X has linked to this post"。然而，Pingback协议也可以被攻击者利用来进行DoS（拒绝服务攻击）。攻击者可以伪造大量的Pingback请求发送给WordPress站点，从而导致站点服务器负载过高，无法正常响应其他合法的请求。这种攻击方式被称为WordPress - DoS - Pingback。为了防止这种攻击，WordPress在后续版本中增强了对Pingback的安全控制，用户也可以通过插件等方式进行进一步的防御。

8. Wordpress:CVE-2014-5265：CVE-2014-5265是一个CVE编号，它是一个针对WordPress的安全漏洞，由于WordPress的XML-RPC不能正确地处理pings请求，攻击者可以利用这个漏洞发送大量的pings请求，导致服务器负载过高，从而成为一种DoS攻击方式。该漏洞已经得到了修复，建议用户及时安装安全更新来保护自己的网站。

Wordpress:Plugin:NOSpamPTI - SQLinjection：Wordpress:Plugin:NOSpamPTI是一款Wordpress插件，其主要功能是防止垃圾留言（spam）投递到Wordpress网站上。而SQLinjection是指SQL注入（SQL Injection），是一种常见的Web应用程序攻击方式，攻击者可以通过在Web应用程序中注入恶意SQL代码，从而导致数据库被攻击者控制或者泄露敏感信息。Wordpress:Plugin:NOSpamPTI - SQLinjection，指的是该插件的某个版本或者某个漏洞存在SQL注入漏洞。如果网站管理员没有对该漏洞进行修复，可能会被黑客利用从而导致网站遭受攻击。所以，网站管理员应该及时将所有的插件、主题及Wordpress核心更新到最新版本，并定期检查网站是否存在安全漏洞。

9. Wordpress Anomaly:Header:User-Agent是指Wordpress网站在部分审计工具中发现的一种异常行为。其中Header指的是HTTP头，User-Agent是指HTTP头中的一种参数。在Web应用程序审计中，User-Agent经常被用来判断用户使用的浏览器和操作系统类型。在Wordpress网站中，如果某个访客的User-Agent格式异常、包含可疑字符、或者是从非常规的浏览器或操作系统中发送的，则有可能被认为是异常行为。但是，攻击者有可能通过特定的方法来伪造User-Agent，从而隐藏其真实身份或者实施攻击。

10. Wordpress:Plugin:Jetpack - XMLRPC：Jetpack是一款由WordPress官方推出的插件，它集成了不少有趣和有用的功能，比如站点统计、社交共享、最新文章、相关文章、订阅者、后备存储和CDN等。XMLRPC是一种协议，它允许通过使用HTTP协议来进行远程过程调用(RPC)。 WordPress通过XMLRPC协议提供了一些APIs，允许用户使用第三方服务来管理他们的WordPress网站。在Jetpack插件中，使用XMLRPC协议来与WordPress站点进行通信，以便在WordPress.com和其他服务之间共享数据。 XMLRPC API使得可以通过Jetpack插件进行安全的登录、轻松的数据共享和自动化站点备份。然而，XMLRPC也被黑客们用作攻击WordPress网站的一种方法。因为XMLRPC API本质上允许从任何地方进行登录到WordPress网站，攻击者可以使用暴力破解来尝试获取管理员凭证，从而对WordPress网站进行攻击。因此，对于使用Jetpack插件的WordPress网站，务必要对XMLRPC进行安全配置，以避免各种安全问题的发生。

11. Wordpress - WPScan：WPScan是一款WordPress漏洞扫描器，可以扫描已安装的WordPress网站以检测存在的漏洞，并发现任何可能的安全漏洞。

 WPScan可以扫描WordPress核心、Active和Inactive插件、Active和Inactive主题等，以识别可能存在的不安全代码和其他安全问题。通过扫描，WPScan可以检测各种类型的漏洞，例如SQL注入、代码注入、XSS、暴力破解、提权漏洞等等。因为WordPress是全球使用最广泛的CMS，所以犯罪分子通常将其作为攻击目标。 WPScan可以帮助站点管理员保持对其WordPress站点的关注，并在需要时及时采取行动来防止潜在的攻击。

Wordpress:Plugin:Slimstat - SQLinjection：Slimstat是一款WordPress分析插件，允许网站管理员跟踪访问者的行为、站点流量、门户网站页面，以及其他有关WordPress站点的有用信息。在一些旧Slimstat插件版本中，它存在SQL注入漏洞，攻击者可以通过插件访问Slimstat数据库，获取敏感信息，甚至可能控制整个WordPress站点。

不管是已经确定当前使用的Wordpress已经存在这些中的某些漏洞，或者不确定，那也不能掉以轻心。我们所要做的是将这些风险拒之门外。看一下，京东云星盾安全加速SCDN产品 - 如何帮助WordPress用户防御上诉这些漏洞。方法如下：

登录星盾安全加速的产品管理面板，在安全规则下的托管规则，有个Wordpress规则集，里面已经集成了Wordpress常见的自身以及插件的漏洞防御规则。在其右侧开启设置。见下图，

点击打开规则详情，更是可以看到各个规则描述，以及可以采用的模式方式。见下图。

618活动期间，聚力诚信联合京东云推出购买即送京东礼品卡优惠活动，入门版更是低至￥750/年。详情见聚力诚信官网或者微信小程序：聚力诚信。

星盾安全加速（SCDN，Secure Content Delivery Network），是京东云推出的一体化分布式安全防御产品，提供免费  SSL 证书，集成 Web 攻击防护、CC 攻击防御、BOT  机器人分析，并将内容分发加速能力融于一身。在边缘节点注入安全能力，形成分布式的安全加速网络，让您的业务更安全、体验更流畅。                                                              

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，提供具备国际和国密双算法认证的数字证书管理服务，涵盖所有市场主流的SSL证书类型和品牌。公司致力于保护客户的网站等数字资产不受黑客和其他网络的侵害。此外，公司还为各行业客户提供电子签章、身份认证等电子认证服务解决方案来确保客户的数字身份安全。作为专业的网络安全服务提供商，公司注重确保客户数字资产的保密性、完整性和可用性，为客户提供全程在线支持，帮助客户应对安全问题和风险。