新しいレポート 脆弱性WPScan の 2024 WordPress Trends は、WordPress ウェブマスター (および SEO) が先を行くために知っておくべき重要なトレンドを明らかにします 安全 彼らのウェブサイトの。
このレポートでは、重大な脆弱性の割合は低いものの (わずか 2,38%)、この調査結果は Web サイト所有者を安心させるものではないと強調しています。報告された脆弱性の約 20% は高または重大な脅威レベルに分類されており、中程度の重大度の脆弱性が大多数 (67,12%) を占めています。中等度の脆弱性は、抜け目のない人によって悪用される可能性があるため、無視すべきではないことを認識することが重要です。
このレポートは、マルウェアや脆弱性についてユーザーを批判していません。しかし、ウェブマスターによるいくつかのミスによって、ハッカーが脆弱性を悪用しやすくなる可能性があると同氏は指摘する。
重要な発見は、報告された脆弱性の 22% はユーザーの資格情報さえ必要としない、またはサブスクライバーの資格情報のみを必要とするため、特に危険であるということです。一方、悪用するために管理者権限が必要な脆弱性は、報告された脆弱性の 30,71% を占めています。
このレポートでは、盗まれたパスワードやヌル化されたプラグインの危険性も強調しています。弱いパスワードはブルート フォース攻撃で解読される可能性がありますが、ヌル プラグインは基本的にサブスクリプション制御のないプラグインの違法コピーであり、多くの場合、マルウェアのインストールを可能にするセキュリティ ギャップ (バックドア) が含まれています。
クロスサイト リクエスト フォージェリ (CSRF) 攻撃が、管理者権限を必要とする脆弱性の 24,74% を占めていることにも注意することが重要です。 CSRF 攻撃は、ソーシャル エンジニアリング技術を使用して管理者をだまして悪意のあるリンクをクリックさせ、攻撃者に管理者アクセスを与えます。
WPScan のレポートによると、ユーザー認証をほとんどまたはまったく必要としない最も一般的なタイプの脆弱性は、アクセス制御の破損 (84,99%) です。このタイプの脆弱性により、攻撃者は通常よりも高いレベルの権限にアクセスできるようになります。もう 20,64 つの一般的なタイプの脆弱性は SQL ハッキング (XNUMX%) です。これにより、攻撃者が WordPress データベースにアクセスしたり改ざんしたりする可能性があります。