據安全廠商Imperva在2018年展開的調查顯示，盡管WordPress是駭客最常鎖定的內容管理平臺，但全球的WordPress網站漏洞，卻有高達98%是由于外掛程序所引發，只有2%涉及WordPress核心。

在全球的網站中，有28%是以WordPress架設，如果按全球基于CMS的網站計算的話，WordPress的市占率更高達59%。

高市占率的平臺自然成為駭客的頭號攻擊目標，與排名二、三的Joomla及Drupal相較，WordPress網站在去年出現542個安全漏洞，Joomla不到200個，Drupal則僅有100個。

而Imperva的研究則顯示，WordPress網站的漏洞有高達98%源自于用來擴充網站功能的外掛程序。根據WordPress官網的統計，目前支持WordPress的外掛程序數量接近5.5萬個，基于開源碼的WordPress允許任何人打造及出版外掛程序，且僅使用最低的安全標準，造成漏洞頻現。

比如近期線上客服程序WP Live Chat Support，就允許WordPress網站與造訪者進行即時的線上交流，而且可在客戶發出信息前就看到內容，還具備文件或視頻分享功能，估計至少有6萬個WordPress網站安裝了WP Live Chat Support。

不過，先是Sucuri Firewall團隊在4月底發現WP Live Chat Support含有常駐的跨站指令碼漏洞。Alert Logic研究團隊繼之于5月初，揭露WP Live Chat Support團隊在去年5月釋出的8.0.11，理應完成CVE‐2018‐12426漏洞的修補，但并沒有真正地解決問題，駭客依然能夠上傳惡意文件到用戶電腦。

令人不解的是，WP Live Chat Support已在5月15日放出了最新的8.0.27以修補相關漏洞，但WordPress卻在5月17日關閉了WP Live Chat Support的下載服務，且不管是WordPress或WP Live Chat Support團隊，都未提出任何的說明。

不論如何，在使用開源的平臺或外掛程序時，還是應該記得慎選風評良好的開發者。