我检查了多年前搭建的 WordPress 站点,以下是我的发现。
Source: Dev.to
“哦,那个站点仍然可以访问。”
如果你曾为客户构建过 WordPress 站点,你一定体会过这种感觉。你会想到三年前交付的某个站点,心里想:他们还在更新吗?
于是你去检查。WordPress 5.x。插件自交付后未动。PHP 8.1 ——已于 2025 年 12 月结束安全支持。根本没有配置任何安全头。
它能运行。但“运行”并不等同于“安全”。
本文探讨的是我们交付 WordPress 站点后,它们所面临的尴尬现实。
WordPress 是单一文化
数字
WordPress 在全球 CMS 市场中占据主导地位,约 61.7 % 的 CMS 网站市场份额。在某些市场,这种集中度极高。
- 日本: 82.9 % 的 CMS 市场份额。 “小企业网站” 与 “WordPress 站点” 几乎是同义词。
- 虽然日本是个例外,但这种模式在大多数市场中仍然成立——WordPress 是各地机构和自由职业者的默认选择。
为什么单一文化危险
在农业中,单一种植——在广阔区域种植同一种作物——会产生系统性风险。一次疾病就能毁掉整季收成。
CMS 市场也面临同样的问题。当 WordPress 如此占主导时,一次漏洞就能同时影响数百万站点。发现 Plugin A 的漏洞,所有使用该插件的站点都会受到威胁。这是攻击者的梦想:最大影响,最小付出。
而这些漏洞?它们 每天都在被发现。
漏洞不是滴流,而是倾泻
规模
| 期间 | 报告的新漏洞数量 | 细分 |
|---|---|---|
| 2025年6月 | 337 | 298 插件,39 主题 |
| 2026年1月12‑18日(1 周) | 180 | — |
| 总体 | — | 96 % 来自插件 |
这大约相当于每天 25 个新漏洞。没有单个开发者或小团队能够手动跟上这个速度。
可怕之处:无需身份验证
大约一半在2025年末报告的漏洞可以无需身份验证就被利用。无需登录,也不需要特殊权限。只需访问一个 URL:
GET /wp-json/vulnerable-plugin/v1/sensitive-data HTTP/1.1
Host: target-site.example.com维护缺口
交付后会发生什么
Year 0: Agency builds WordPress site with 10 plugins.
Client declines maintenance contract — “too expensive.”
Year 1: Agency says “please keep it updated.”
Client says “sure” (they don’t).
Year 2: Maintenance contract ends. Relationship fades.
Year 3: Nobody remembers the wp‑login password.
The site becomes untouchable — “don’t break it.”
Year 4: PHP 8.1 reaches EOL. Hosting provider sends warnings. Ignored.
Year 5: Three plugins are abandoned by their developers.
Known vulnerabilities, zero patches.
Year 6: ← We are here. The site loads fine.
It’s a vulnerability goldmine.根据日本信息技术推广机构(IPA)2024 年中小企业网络安全调查:
| 发现 | 数量 |
|---|---|
| 未经授权访问的最常见原因 | 未打补丁的漏洞(48 %) |
| 平均事件成本 | ~ $5,000 (¥730,000) |
| 平均恢复时间 | 5.8 天 |
| 影响业务合作伙伴的事件 | ~ 70 % |
这些数据来自日本的中小企业,但模式是普遍的。全球各地的小企业都在运行过时的 WordPress 安装,且缺乏维护资源。
这真的是别人的问题吗?
残酷的事实是:客户选择不支付维护费用。但我们是网站的设计者。我们是否把网站做成尽可能低维护的?我们是否充分传达了不更新会发生的后果?
实际上,并不是每个客户都会签订维护合同。不过,如果我们至少让当前状态可见,就能打开对话的大门。
从外部检查 WordPress 站点的健康状况
检测 WordPress 版本
# From meta tags
curl -s https://example.com | grep -oP 'content="WordPress \K[0-9.]+'
# From RSS feed
curl -s https://example.com/feed/ | grep -oP '\?v=\K[0-9.]+'
# Check if readme.html is exposed
curl -sI https://example.com/readme.html | head -1检查安全头部
curl -sI https://example.com | grep -iE \
'(strict-transport-security|content-security-policy|x-frame-options|x-content-type-options|referrer-policy|permissions-policy)'在小型企业站点上尝试一下。大概率 没有任何返回,这意味着未配置任何安全头部。
检查电子邮件认证
# SPF
dig +short TXT example.com | grep spf
# DMARC
dig +short TXT _dmarc.example.com如果 DMARC 策略为 p=none,则表示伪造该域名的钓鱼邮件不会被阻止。
一次性运行这些命令很容易,但要实现规模化需要:
- 对数十个客户域名进行定期检查
- 将插件版本与新出现的 CVE 进行交叉比对
- 自动化通知以及面向客户的报告
仅靠终端命令无法满足大规模需求。
Nyambush — 为我们这些普通人提供的被动 ASM
这就是我创建 Nyambush 的原因。
Nyambush 是一款 ASM(攻击面管理) SaaS。输入域名,即可获得其外部攻击面的即时安全评估。ASM 工具通常只面向企业;Nyambush 将此能力带给机构、自由职业者以及为客户维护 WordPress 站点的任何人。
Nyambush – 免费网站安全与监控
Software‑as‑a‑Service (SaaS) – 企业方案每年 30,000 美元以上。Nyambush 起步 免费 — 无需账号。
检测内容
| 类别 | 你可以了解的内容 |
|---|---|
| DNS | 子域枚举、悬挂 CNAME(子域接管风险)、WHOIS |
| Email Auth | SPF/DKIM/DMARC 配置、欺骗风险评估 |
| HTTP Headers | 安全头覆盖情况、HTTPS 配置问题 |
| WordPress | 核心版本、检测到的插件/主题、已知 CVE |
| AI Patrol | 无头浏览器爬取 + Claude Vision AI 用于篡改与异常检测 |
AI Patrol – 捕捉人眼漏掉的篡改
许多被入侵的站点对普通访客看起来完全正常。篡改可能很微妙——注入的垃圾链接、隐藏的重定向,或只有搜索引擎能看到的修改页脚。
AI Patrol 通过两层方式解决此问题:
-
第 1 层:技术检查(爬取时自动完成)
- HTTP 状态码(5xx/4xx 检测)
- JavaScript 错误
- 控制台错误
- 损坏的图片
- 混合内容(HTTPS → HTTP)
- 损坏的链接(子资源 404/5xx)
-
第 2 层:AI 视觉分析(Claude Vision API)
- 篡改检测(注入文本、黑客签名)
- 调试信息泄露(堆栈跟踪、SQL 查询、内部路径)
- 钓鱼重定向
- 布局破坏(元素重叠、溢出)
- 字符编码问题
- 可疑广告/弹窗
- SEO 垃圾信息(隐藏文字、关键词堆砌)
视觉差异检测
Playwright 捕获整页截图,并使用 pixelmatch 对比前后爬取的像素。当变化率超过 5 % 时,Claude Vision AI 会分析 具体变化内容——区分合法内容更新与未授权的修改。
仅被动扫描
Nyambush 仅执行被动扫描:
- DNS 查询
- 标准 HTTP/HTTPS 请求(与普通浏览器访问相同)
- 证书透明度日志查询
- 公共漏洞数据库关联
没有端口扫描。没有利用尝试。没有 PoC 执行。这意味着您可以安全地扫描 任何 域名——包括您自己的站点、客户站点或潜在客户——而无需担心法律问题。
机构和自由职业者的使用方式
-
Health‑check past clients
输入前客户的域名。查看其当前的安全状况。如果发现问题,您就有具体的数据可以重新接洽:“您的站点运行的是 WordPress 5.8,存在 X 个已知漏洞。想讨论一下修复方案吗?”
-
Scope new projects
对于重新设计或迁移项目,先扫描现有站点。“这是当前的安全风险概况”能够有力地说明现代化的必要性。 -
Automated post‑delivery monitoring with AI
设置 AI Patrol;Nyambush 持续监控已交付的站点。当检测到篡改、布局破损或 JavaScript 错误时,您会收到截图和具体发现。向客户展示前后对比截图及差异图像,以证明您的维护价值。 -
Quality assurance at delivery
在交付前扫描您自己的作品。证明安全头和邮件认证已正确配置。“安全意识开发”成为有据可查的差异化优势。
WordPress 插件深度洞察
外部扫描并不能看到所有内容。安装 Nyambush WordPress 插件 以报告:
- 完整的插件清单(包括已停用的插件)
- 精确的 PHP 版本
wp‑config.php安全设置(调试模式、SSL 强制)- 登录安全配置
那些“已停用但未删除”且已知存在漏洞的插件?现在你可以找到它们。
定价
| 计划 | 月费 | 域名数量 | 扫描频率 | AI Patrol | 巡检范围 | 通知方式 | AI 报告 |
|---|---|---|---|---|---|---|---|
| 免费 | $0 | 1 | 每月 | — | — | 电子邮件 | — |
| 专业版 | $13 | 5 | 每周 | 5页 (Haiku 4.5) | 技术检查 + AI分析 + 视觉差异 | Slack + LINE | ✓ |
| 商业版 | $65 | 30 | 每日 | 50页 (Sonnet 4.5) | 同上(更高精度模型) | Slack + LINE | ✓ |
免费适用于个人检查。专业版适合管理多个客户站点的机构。商业版增加每日 AI 巡检,用于自动化篡改和事件检测。
超越“建成后忘记”
WordPress 漏洞披露已达到个人无法手动追踪的规模。但“停止使用 WordPress”并不现实——它支撑着大多数网站,短期内不会改变。
我们可以做的
- 让看不见的变可见 – 了解我们构建的网站当前状态
- 用数据沟通风险 – 向客户展示具体数字,而非模糊警告
- 自动化监控 – 在问题变成事故之前捕获变化
- 让 AI 监视人类看不到的 – 以团队无法匹配的规模进行可视化监控
试一试: 输入域名,等待一分钟,无需注册,即可看到真实情况。