Новият доклад уязвимостТенденциите на WordPress за 2024 г. от WPScan извеждат наяве важни тенденции, които уеб администраторите на WordPress (и SEO специалистите) трябва да знаят, за да останат напред сигурност на техните уебсайтове.
Докладът подчертава, че въпреки че нивата на критични уязвимости са ниски (само 2,38%), констатациите не трябва да успокояват собствениците на уебсайтове. Почти 20% от докладваните уязвимости са категоризирани като високо или критично ниво на заплаха, докато уязвимостите със средна тежест съставляват мнозинството (67,12%). Важно е да се осъзнае, че умерените уязвимости не трябва да се пренебрегват, тъй като те могат да бъдат използвани от проницателните.
Докладът не критикува потребителите за зловреден софтуер и уязвимости. Той обаче посочва, че някои грешки на уебмастъри могат да улеснят хакерите да се възползват от уязвимостите.
Важно откритие е, че 22% от докладваните уязвимости дори не изискват потребителски идентификационни данни или изискват само абонатни идентификационни данни, което ги прави особено опасни. От друга страна, уязвимостите, които изискват администраторски права за използване, представляват 30,71% от докладваните уязвимости.
Докладът също така подчертава опасностите от откраднати пароли и нулирани плъгини. Слабите пароли могат да бъдат разбити с атаки с груба сила, докато нулираните добавки, които по същество са незаконни копия на добавки без контрол на абонамента, често съдържат пропуски в сигурността (задни врати), които позволяват инсталирането на зловреден софтуер.
Също така е важно да се отбележи, че атаките за фалшифициране на заявки между сайтове (CSRF) представляват 24,74% от уязвимостите, които изискват административни привилегии. CSRF атаките използват техники за социално инженерство, за да подмамят администраторите да кликнат върху злонамерена връзка, давайки на атакуващите администраторски достъп.
Според доклада на WPScan най-често срещаният тип уязвимост, която изисква малко или никакво удостоверяване на потребителя, е Broken Access Control (84,99%). Този тип уязвимост позволява на атакуващ да получи достъп до привилегии от по-високо ниво, отколкото обикновено. Друг често срещан тип уязвимост е хакването на SQL (20,64%), което може да позволи на нападателите да получат достъп или да се подправят с базата данни на WordPress.
