Новый отчет уязвимость«Тенденции WordPress 2024» от WPScan выявляет важные тенденции, о которых веб-мастерам WordPress (и оптимизаторам) необходимо знать, чтобы оставаться впереди. безопасность своих веб-сайтов.
В отчете подчеркивается, что, хотя уровень критических уязвимостей низок (всего 2,38%), полученные результаты не должны обнадеживать владельцев веб-сайтов. Почти 20% зарегистрированных уязвимостей относятся к категории высокого или критического уровня угрозы, тогда как уязвимости средней степени серьезности составляют большинство (67,12%). Важно понимать, что не следует игнорировать умеренные уязвимости, поскольку ими могут воспользоваться хитрые люди.
В отчете не содержится критики пользователей за вредоносное ПО и уязвимости. Однако он отмечает, что некоторые ошибки веб-мастеров могут облегчить хакерам эксплуатацию уязвимостей.
Важным выводом является то, что 22% зарегистрированных уязвимостей даже не требуют учетных данных пользователя или требуют только учетных данных подписчика, что делает их особенно опасными. С другой стороны, уязвимости, для использования которых требуются права администратора, составляют 30,71% зарегистрированных уязвимостей.
В отчете также подчеркивается опасность украденных паролей и обнуленных плагинов. Слабые пароли можно взломать с помощью грубой силы, а нулевые плагины, которые по сути являются незаконными копиями плагинов без контроля подписки, часто содержат бреши в безопасности (бэкдоры), которые позволяют устанавливать вредоносное ПО.
Также важно отметить, что атаки межсайтовой подделки запросов (CSRF) составляют 24,74% уязвимостей, требующих административных привилегий. Атаки CSRF используют методы социальной инженерии, чтобы обманом заставить администраторов щелкнуть вредоносную ссылку, предоставляя злоумышленникам доступ администратора.
Согласно отчету WPScan, наиболее распространенным типом уязвимости, которая практически не требует аутентификации пользователя или вообще не требует ее, является нарушение контроля доступа (84,99%). Этот тип уязвимости позволяет злоумышленнику получить доступ к привилегиям более высокого уровня, чем он обычно имеет. Другим распространенным типом уязвимостей является взлом SQL (20,64%), который может позволить злоумышленникам получить доступ к базе данных WordPress или вмешаться в нее.
