根据网站安全公司 Patchstack（前身为 WebARX）的一份新报告，2020 年有超过 580 个 WordPress 漏洞被披露，但其中绝大部分影响到第三方插件和主题，而不是 WordPress 核心。

该报告是基于 Patchstack 的 WordPress 漏洞数据库的数据，其中包括该公司的内部研究团队及其漏洞赏金社区、第三方网络安全供应商和独立安全研究人员收集的信息。值得注意的是，WordPress 内容管理系统（CMS）驱动着互联网上 40% 以上的网站，用户有数以万计的插件供他们使用，以实现各种功能。

对去年披露的漏洞分析表明，在 582 个独特的问题中，超过 96% 的问题实际上影响了第三方主题或插件，其中许多主题或插件被数百万个网站所采用。在插件中发现了 470 多个安全漏洞，只有 22 个影响了 WordPress 核心 —— 其余的都只影响了主题。

Patchstack 还分析了 5 万个 WordPress 网站，发现它们平均使用了 23 个第三方插件，平均会有 4 个插件没有更新到最新版本。Patchstack 在其报告中写道："网站上每多安装一个插件，暴露在潜在漏洞中的风险就会增加。网站更新滞后的事实更增加了风险"。

跨站脚本（XSS）漏洞是最常见的，其次是 SQL 注入、跨站请求伪造（CSRF）、信息泄漏和任意文件上传漏洞（如下图所示）。

Patchstack 表示，根据今年通过其漏洞赏金计划提交的漏洞报告，截止到目前为止发现的漏洞数量相比 2020 年似乎有所增加。