風險總覽

SonarQube、WPScan、ZAP、佈景主題審查的安全風險彙整。

程式碼掃描（SonarQube）

類型	數量
漏洞（Vulnerability）	6
Bug	3642
Security Hotspot	548

按外掛 / 主題分類

以下列出各自訂外掛與子主題的程式碼問題數量，數量多的來源建議優先處理。詳細問題清單見程式碼掃描。

advanced-coupons-for-woocommerce（33 項）

criteo（5 項）

ithemes-security-pro（244 項）

佈景主題審查

等級	ID	位置	問題
高	THEME-001	footer.php:185-189	XSS：使用者個資未跳脫直接輸出到 JavaScript
高	THEME-002	footer.php:219-221	XSS：商品資料未跳脫直接輸出到 JavaScript
高	THEME-003	functions.php:142-146	XSS：affiliates_trank 函數 order_total 未跳脫
高	THEME-004	functions.php:846	XSS：Facebook 驗證碼未使用 esc_attr 輸出
高	THEME-005	ultimate-member/email/welcome_email.php:13	歡迎郵件使用 Cloudways staging URL
高	THEME-006	functions.php:1405	允許匯出外掛執行任意 PHP 程式碼
高	THEME-007	functions.php:755-756	第三方 CDN 資源未使用 SRI（Subresource Integrity）
高	THEME-012	functions.php:1616-1617	GPT AJAX 未登入可呼叫且無速率限制（成本/資源濫用）
中	THEME-008	functions.php:497-677 + 1835-2171	生產環境殘留大量 console.log（含 emoji）
中	THEME-009	functions.php:866-1164	300+ 行父主題函數完整覆寫僅為加入 5 行程式碼
中	THEME-010	functions.php:151-277	訂單狀態判斷依賴訂單備註文字比對
中	THEME-011	functions.php:1308-1357	硬編碼 email 地址和使用過時的 WooCommerce API
中	THEME-013	woocommerce/single-product.php	WooCommerce 範本版本極舊（1.6.4）
中	THEME-014	functions.php:709-733	未經 sanitize 的 $_POST 資料直接用於比較
中	THEME-015	functions.php:1293	未經 sanitize 的 $_SERVER['REQUEST_URI']
中	THEME-016	header.php:9	viewport meta 禁止使用者縮放
中	THEME-017	functions.php:280-327	使用 HPOS 不相容的訂單列表 hook
低	THEME-018	260119_functions.php + _style.css + js/241129_main.js + js/241129_main.min.js	備份檔案留在可存取的目錄中
低	THEME-019	functions.php:62-86 + 707-733	大量硬編碼的運送方式 ID 和地區名稱
低	THEME-020	functions.php:90-149 + 792-858	多組追蹤碼 ID 硬編碼
低	THEME-021	functions.php:1355	error_log 留在生產環境
低	THEME-022	woocommerce/emails/*.php	WooCommerce email 範本版本可能過舊
低	THEME-023	functions.php:1167-1232	未使用的程式碼：已停用的自動取消訂單功能
低	THEME-024	js/main.js:160-166	GPT AJAX 呼叫缺少 nonce 參數
低	THEME-025	functions.php:1446	學生折價券前綴檢查過於寬鬆

已知漏洞（WPScan）

WordPress 版本	?（?）
外掛有漏洞	0 個

完整報告 →

動態掃描（ZAP）

等級	數量
中	8
低	9
資訊	7

完整報告 →

相關頁

程式碼掃描 ｜ 已知漏洞 ｜ 動態掃描 ｜ 佈景主題架構 ｜ 安全設定