去年安全分析人員發現可利用的WordPress插件漏洞的數量爆炸性增長。來自RiskBased Security的研究人員報告說，他們發現在2021年，WordPress插件漏洞的數量增加了三位數。

據報道，在2021年底，有10359個漏洞影響第三方WordPress插件，其中，2240個漏洞是在去年披露的，與2020年相比，漏洞數量增加了142%。更糟糕的是，在這些額外的WordPress插件漏洞中，超過四分之三(77%)是已知的、公開的漏洞。

報告發現，有7592個WordPress漏洞可被遠程利用，7993個漏洞有公開利用，4797個WordPress漏洞有公開利用，但沒有CVE ID。換句話說，依靠CVE組織無法得知60%公開的WordPress插件漏洞。

根據RiskBased團隊的說法，對新出現的WordPress攻擊面的正確反應是，從根據風險對組織的重要性來確定資源的優先次序，轉而關注最容易被利用的漏洞。平均而言，所有WordPress插件漏洞的CVSSv2得分是5.5，根據許多當前的虛擬機框架，這充其量被認為是一個中等風險，但是使用WordPress的企業不能讓這些容易被威脅者利用的機會陷入積壓的補丁中。

該小組指出，1月10日網絡安全和基礎設施安全局(CISA)對約束性操作指令的更新，概述了針對聯邦網絡的漏洞和積極威脅。該更新同樣將容易利用的漏洞置于CVSS分數較高的漏洞之上，這表明，惡意行為者并不青睞CVSS嚴重性高的漏洞，而是選擇那些他們容易利用的漏洞。