Новий звіт вразливість2024 WordPress Trends від WPScan висвітлює важливі тенденції, про які варто знати веб-майстрам WordPress (і спеціалістам із оптимізації пошукових систем), щоб бути попереду безпеки їхніх веб-сайтів.
У звіті підкреслюється, що хоча рівень критичних вразливостей низький (лише 2,38%), результати не повинні заспокоїти власників веб-сайтів. Майже 20% зареєстрованих уразливостей класифікуються як високий або критичний рівень загрози, тоді як уразливості середнього ступеня тяжкості складають більшість (67,12%). Важливо усвідомлювати, що помірні вразливості не слід ігнорувати, оскільки вони можуть бути використані кмітливими.
У звіті не критикуються користувачі за шкідливі програми та вразливості. Однак він зазначає, що деякі помилки веб-майстрів можуть полегшити хакерам використання вразливостей.
Важливим висновком є те, що для 22% повідомлених уразливостей навіть не потрібні облікові дані користувача або потрібні лише облікові дані підписника, що робить їх особливо небезпечними. З іншого боку, уразливості, для використання яких потрібні права адміністратора, становлять 30,71% зареєстрованих уразливостей.
У звіті також висвітлюється небезпека вкрадених паролів і нульованих плагінів. Слабкі паролі можна зламати за допомогою атак грубої сили, тоді як обнулені плагіни, які по суті є нелегальними копіями плагінів без контролю підписки, часто містять прогалини в безпеці (бекдори), які дозволяють інсталювати шкідливе програмне забезпечення.
Також важливо відзначити, що атаки міжсайтової підробки запитів (CSRF) спричиняють 24,74% уразливостей, які потребують адміністративних привілеїв. Атаки CSRF використовують методи соціальної інженерії, щоб обманом змусити адміністраторів натиснути зловмисне посилання, надаючи зловмисникам доступ адміністратора.
Згідно зі звітом WPScan, найпоширенішим типом уразливості, який потребує незначної автентифікації користувача або взагалі не вимагає її, є порушення контролю доступу (84,99%). Цей тип уразливості дозволяє зловмиснику отримати доступ до привілеїв вищого рівня, ніж вони зазвичай мають. Іншим поширеним типом уразливості є злом SQL (20,64%), який може дозволити зловмисникам отримати доступ або підробити базу даних WordPress.
