Az új jelentés sebezhetőségA 2024-es WordPress Trends by WPScan olyan fontos trendeket hoz napvilágra, amelyekkel a WordPress webmestereinek (és SEO-knak) tisztában kell lenniük ahhoz, hogy fenntartsák Biztonság webhelyeikről.
A jelentés hangsúlyozza, hogy bár a kritikus sérülékenységek aránya alacsony (mindössze 2,38%), az eredmények nem nyugtathatják meg a webhelytulajdonosokat. A jelentett sebezhetőségek csaknem 20%-a magas vagy kritikus fenyegetettségi szintnek minősül, míg a közepes súlyosságú sérülékenységek teszik ki a legtöbbet (67,12%). Fontos felismerni, hogy a mérsékelt sebezhetőségeket nem szabad figyelmen kívül hagyni, mivel azokat az okosok kihasználhatják.
A jelentés nem kritizálja a felhasználókat rosszindulatú programok és sebezhetőségek miatt. Ugyanakkor felhívja a figyelmet arra, hogy a webmesterek néhány hibája megkönnyítheti a hackerek számára a sebezhetőségek kihasználását.
Fontos megállapítás, hogy a jelentett sebezhetőségek 22%-a nem is igényel felhasználói hitelesítési adatokat, vagy csak előfizetői hitelesítést igényel, így különösen veszélyesek. Másrészt a jelentett sérülékenységek 30,71%-át adminisztrátori jogokat igénylő biztonsági rések teszik ki.
A jelentés rámutat az ellopott jelszavak és a nullázott bővítmények veszélyeire is. A gyenge jelszavakat brute-force támadásokkal lehet feltörni, míg a nulled beépülő modulok, amelyek lényegében a bővítmények előfizetés-ellenőrzés nélküli illegális másolatai, gyakran tartalmaznak biztonsági hiányosságokat (hátsó ajtókat), amelyek lehetővé teszik a rosszindulatú programok telepítését.
Azt is fontos megjegyezni, hogy a rendszergazdai jogosultságokat igénylő sebezhetőségek 24,74%-át a Cross-Site Request Forgery (CSRF) támadások teszik ki. A CSRF támadások szociális tervezési technikákat alkalmaznak, hogy rávegyék a rendszergazdákat, hogy rosszindulatú hivatkozásra kattintsanak, így a támadók rendszergazdai hozzáférést biztosítanak.
A WPScan jelentése szerint a leggyakrabban előforduló sérülékenység, amely alig vagy egyáltalán nem igényel felhasználói hitelesítést, a Broken Access Control (84,99%). Az ilyen típusú sebezhetőség lehetővé teszi a támadók számára, hogy a szokásosnál magasabb szintű jogosultságokhoz jussanak. A sérülékenység másik gyakori típusa az SQL-hackelés (20,64%), amely lehetővé teszi a támadók számára, hogy hozzáférjenek a WordPress adatbázishoz vagy manipulálják azt.