外掛

駭客開採冷門外掛程式的XSS漏洞，對WordPress網站植入惡意指令，將網站造訪者引導到惡意廣告網站

Chrome Web Store出現一批冒充知名電子錢包服務的假外掛，利用Google Ads等管道打廣告，吸引使用者下載，雖然Google已將這些惡意外掛移除，但研究人員研判已有受害者的電子錢包因此遭竊

為了整頓Chrome Web Store上許多付費外掛非法榨取用戶錢財的亂象，Google發信通知開發商無限期暫停付費外掛的出版作業

有鑑於瀏覽器外掛已經成一大安全漏洞，明年起Mozilla要求開發商啟用雙因素驗證來登入Firefox外掛專用入口網站AMO，防止駭客取得AMO使用者帳密，在合法外掛注入惡意程式碼，危及終端用戶

研究人員發現一個代管在Rackspace伺服器的網站不斷對外發出攻擊，目標是網路上WordPress網站上特定一批公開漏洞，這波攻擊主要影響Bold Page Builder、Blog Designer、Live Chat with Facebook Messenger等WordPress外掛

Extension Monitor分析Chrome的官方程式商店後，發現在將近20萬個現有外掛中，下載次數破千萬的只有13個，高達半數的下載率不到20次

Imperva調查顯示，儘管WordPress是駭客最常鎖定的內容管理平臺，但全球的WordPress網站漏洞，有高達98%其實是來自於第三方外掛程式

NCC Group發現Jenkins外掛程式普遍存在安全漏洞，可能導致用戶資訊洩漏及伺服器端的請求偽造攻擊