Nauja ataskaita pažeidžiamumas„WPScan“ 2024 m. „WordPress Trends“ atskleidžia svarbias tendencijas, kurias turi žinoti „WordPress“ žiniatinklio valdytojai (ir SEO), kad išliktų priekyje saugumo savo svetainių.
Ataskaitoje pabrėžiama, kad nors kritinių spragų rodikliai yra žemi (vos 2,38 proc.), išvados neturėtų nuraminti svetainių savininkų. Beveik 20 % pažeidžiamumų, apie kuriuos pranešta, priskiriami aukšto arba kritinio grėsmės lygiui, o vidutinio sunkumo pažeidžiamumai sudaro didžiąją dalį (67,12 %). Svarbu suprasti, kad nereikėtų ignoruoti vidutinio pažeidžiamumo, nes sumanieji gali jais pasinaudoti.
Ataskaitoje nekritikuojami vartotojai dėl kenkėjiškų programų ir pažeidžiamumų. Tačiau jis atkreipia dėmesį, kad kai kurios žiniatinklio valdytojų klaidos gali padėti įsilaužėliams lengviau išnaudoti pažeidžiamumą.
Svarbus atradimas yra tas, kad 22 % pažeidžiamumų, apie kuriuos pranešta, net nereikia vartotojo kredencialų arba reikia tik abonento kredencialų, todėl jie yra ypač pavojingi. Kita vertus, pažeidžiamumas, kurio išnaudojimui reikalingos administratoriaus teisės, sudaro 30,71% pažeidžiamumų, apie kuriuos pranešta.
Ataskaitoje taip pat pabrėžiami pavogtų slaptažodžių ir panaikintų įskiepių pavojai. Silpnus slaptažodžius galima nulaužti naudojant žiaurios jėgos atakas, o nuliniuose įskiepiuose, kurie iš esmės yra nelegalios papildinių kopijos be prenumeratos kontrolės, dažnai yra saugos spragų (užpakalinių durų), leidžiančių įdiegti kenkėjiškas programas.
Taip pat svarbu pažymėti, kad kelių svetainių užklausų klastojimo (CSRF) atakos sudaro 24,74% pažeidžiamumų, kuriems reikia administratoriaus privilegijų. CSRF atakose naudojami socialinės inžinerijos metodai, siekiant apgauti administratorius spustelėti kenkėjišką nuorodą, suteikiant užpuolikams administratoriaus prieigą.
Remiantis WPScan ataskaita, labiausiai paplitęs pažeidžiamumų tipas, kuriam reikalingas nedidelis vartotojo autentifikavimas arba jo nėra, yra pažeista prieigos kontrolė (84,99%). Šio tipo pažeidžiamumas leidžia užpuolikui gauti aukštesnio lygio privilegijas nei įprastai. Kitas dažnas pažeidžiamumo tipas yra SQL įsilaužimas (20,64 %), dėl kurio užpuolikai gali pasiekti arba sugadinti „WordPress“ duomenų bazę.
