Nowy raport słaby punktTrendy WordPress na rok 2024 autorstwa WPScan ujawniają ważne trendy, o których webmasterzy WordPress (i SEO) muszą wiedzieć, aby pozostać na czele bezpieczeństwo z ich stron internetowych.
W raporcie podkreślono, że choć odsetek krytycznych luk w zabezpieczeniach jest niski (zaledwie 2,38%), ustalenia nie powinny uspokajać właścicieli witryn. Prawie 20% zgłoszonych luk zalicza się do kategorii wysokiego lub krytycznego poziomu zagrożenia, przy czym większość stanowią luki o średniej wadze (67,12%). Ważne jest, aby zdać sobie sprawę, że umiarkowane luki w zabezpieczeniach nie powinny być ignorowane, ponieważ mogą zostać wykorzystane przez bystrego.
W raporcie nie krytykuje się użytkowników za złośliwe oprogramowanie ani luki w zabezpieczeniach. Zwraca jednak uwagę, że niektóre błędy webmasterów mogą ułatwić hakerom wykorzystanie luk.
Ważnym odkryciem jest to, że 22% zgłoszonych luk nie wymaga nawet poświadczeń użytkownika lub wymaga jedynie poświadczeń subskrybenta, co czyni je szczególnie niebezpiecznymi. Z drugiej strony luki wymagające uprawnień administracyjnych do wykorzystania stanowią 30,71% zgłoszonych luk.
W raporcie podkreślono także niebezpieczeństwa związane ze skradzionymi hasłami i zerowanymi wtyczkami. Słabe hasła można złamać za pomocą ataków typu brute-force, natomiast wtyczki zerowe, które w istocie są nielegalnymi kopiami wtyczek bez kontroli subskrypcji, często zawierają luki w zabezpieczeniach (backdoory), które umożliwiają instalację złośliwego oprogramowania.
Należy również zauważyć, że ataki typu Cross-Site Request Forgery (CSRF) stanowią 24,74% luk wymagających uprawnień administracyjnych. Ataki CSRF wykorzystują techniki inżynierii społecznej w celu nakłonienia administratorów do kliknięcia złośliwego łącza, zapewniając atakującym dostęp administratora.
Według raportu WPScan najczęstszym typem luki, która wymaga niewielkiego uwierzytelnienia użytkownika lub nie wymaga go wcale, jest Zepsuta kontrola dostępu (84,99%). Ten typ luki pozwala atakującemu uzyskać dostęp do uprawnień wyższego poziomu niż zwykle. Innym powszechnym typem luki jest hakowanie SQL (20,64%), które może umożliwić atakującym dostęp do bazy danych WordPress lub manipulowanie nią.
