Den nya rapporten sårbarhet2024 WordPress Trends av WPScan lyfter fram viktiga trender WordPress-webbansvariga (och SEO:er) måste vara medvetna om för att ligga i framkant säkerhet av deras webbplatser.
Rapporten betonar att även om frekvensen av kritiska sårbarheter är låga (bara 2,38 %), bör resultaten inte lugna webbplatsägare. Nästan 20 % av rapporterade sårbarheter kategoriseras som hög eller kritisk hotnivå, medan medelsvåra sårbarheter utgör majoriteten (67,12 %). Det är viktigt att inse att måttliga sårbarheter inte bör ignoreras eftersom de kan utnyttjas av den skarpsinnige.
Rapporten kritiserar inte användare för skadlig programvara och sårbarheter. Han påpekar dock att vissa misstag av webbansvariga kan göra det lättare för hackare att utnyttja sårbarheter.
En viktig upptäckt är att 22 % av rapporterade sårbarheter inte ens kräver användaruppgifter eller bara kräver abonnentuppgifter, vilket gör dem särskilt farliga. Å andra sidan står sårbarheter som kräver administratörsrättigheter för att utnyttja 30,71 % av rapporterade sårbarheter.
Rapporten belyser också farorna med stulna lösenord och ogiltiga plugins. Svaga lösenord kan knäckas med brute-force-attacker, medan nollställda plugins, som i huvudsak är olagliga kopior av plugins utan prenumerationskontroll, ofta innehåller säkerhetsluckor (bakdörrar) som tillåter installation av skadlig programvara.
Det är också viktigt att notera att Cross-Site Request Forgery (CSRF)-attacker står för 24,74 % av sårbarheterna som kräver administrativa privilegier. CSRF-attacker använder social ingenjörsteknik för att lura administratörer att klicka på en skadlig länk, vilket ger angripare administratörsåtkomst.
Enligt WPScan-rapporten är den vanligaste typen av sårbarhet som kräver liten eller ingen användarautentisering Broken Access Control (84,99%). Denna typ av sårbarhet tillåter en angripare att få tillgång till högre nivåer av privilegier än de normalt har. En annan vanlig typ av sårbarhet är SQL-hackning (20,64 %), som kan tillåta angripare att komma åt eller manipulera WordPress-databasen.
