Den nye rapport sårbarhed2024 WordPress Trends by WPScan bringer vigtige tendenser frem i lyset, WordPress webmastere (og SEO'er) skal være opmærksomme på for at være på forkant sikkerhed af deres hjemmesider.
Rapporten understreger, at selvom antallet af kritiske sårbarheder er lave (kun 2,38%), bør resultaterne ikke berolige webstedsejere. Næsten 20 % af de rapporterede sårbarheder er kategoriseret som højt eller kritisk trusselsniveau, mens sårbarheder af middel sværhed udgør størstedelen (67,12 %). Det er vigtigt at indse, at moderate sårbarheder ikke bør ignoreres, da de kan udnyttes af den skarpsindige.
Rapporten kritiserer ikke brugere for malware og sårbarheder. Han påpeger dog, at nogle fejl fra webmastere kan gøre det nemmere for hackere at udnytte sårbarheder.
En vigtig opdagelse er, at 22 % af de rapporterede sårbarheder ikke engang kræver brugeroplysninger eller kun kræver abonnentoplysninger, hvilket gør dem særligt farlige. På den anden side står sårbarheder, der kræver administrative rettigheder for at udnytte, for 30,71 % af de rapporterede sårbarheder.
Rapporten fremhæver også farerne ved stjålne adgangskoder og nulstillede plugins. Svage adgangskoder kan knækkes med brute-force-angreb, mens nulled plugins, som i det væsentlige er ulovlige kopier af plugins uden abonnementskontrol, ofte indeholder sikkerhedshuller (bagdøre), der tillader installation af malware.
Det er også vigtigt at bemærke, at Cross-Site Request Forgery (CSRF)-angreb tegner sig for 24,74% af sårbarheder, der kræver administrative rettigheder. CSRF-angreb bruger social engineering-teknikker til at narre administratorer til at klikke på et ondsindet link, hvilket giver angribere administratoradgang.
Ifølge WPScan-rapporten er den mest almindelige type sårbarhed, der kræver ringe eller ingen brugergodkendelse Broken Access Control (84,99%). Denne type sårbarhed giver en hacker mulighed for at få adgang til privilegier på højere niveau, end de normalt har. En anden almindelig type sårbarhed er SQL-hacking (20,64%), som kan give angribere adgang til eller manipulere med WordPress-databasen.
