根據網站安全公司 Patchstack(前身為 WebARX)的一份新報告，2020 年有超過 580 個 WordPress 漏洞被披露，但其中絕大部分影響到第三方插件和主題，而不是 WordPress 核心。

該報告是基于 Patchstack 的 WordPress 漏洞數據庫的數據，其中包括該公司的內部研究團隊及其漏洞賞金社區、第三方網絡安全供應商和獨立安全研究人員收集的信息。值得注意的是，WordPress 內容管理系統(CMS)驅動著互聯網上 40% 以上的網站，用戶有數以萬計的插件供他們使用，以實現各種功能。

對去年披露的漏洞分析表明，在 582 個獨特的問題中，超過 96% 的問題實際上影響了第三方主題或插件，其中許多主題或插件被數百萬個網站所采用。在插件中發現了 470 多個安全漏洞，只有 22 個影響了 WordPress 核心 —— 其余的都只影響了主題。

Patchstack 還分析了 5 萬個 WordPress 網站，發現它們平均使用了 23 個第三方插件，平均會有 4 個插件沒有更新到最新版本。Patchstack 在其報告中寫道："網站上每多安裝一個插件，暴露在潛在漏洞中的風險就會增加。網站更新滯后的事實更增加了風險"。

跨站腳本(XSS)漏洞是最常見的，其次是 SQL 注入、跨站請求偽造(CSRF)、信息泄漏和任意文件上傳漏洞(如下圖所示)。

Patchstack 表示，根據今年通過其漏洞賞金計劃提交的漏洞報告，截止到目前為止發現的漏洞數量相比 2020 年似乎有所增加。