Novi izvještaj ranjivost2024 WordPress Trends by WPScan otkriva važne trendove kojih WordPress webmasteri (i SEO-ovi) moraju biti svjesni kako bi ostali ispred sigurnosti njihovih web stranica.
Izvješće naglašava da iako su stope kritičnih ranjivosti niske (samo 2,38%), nalazi ne bi trebali umiriti vlasnike web stranica. Gotovo 20% prijavljenih ranjivosti kategorizirano je kao visoka ili kritična razina prijetnje, dok ranjivosti srednje težine čine većinu (67,12%). Važno je shvatiti da se umjerene ranjivosti ne smiju zanemariti jer ih pronicljivi mogu iskoristiti.
Izvješće ne kritizira korisnike zbog zlonamjernog softvera i ranjivosti. Međutim, ističe da neke pogreške webmastera mogu hakerima olakšati iskorištavanje ranjivosti.
Važan nalaz je da 22% prijavljenih ranjivosti uopće ne zahtijeva korisničke vjerodajnice ili zahtijeva samo pretplatničke vjerodajnice, što ih čini posebno opasnima. S druge strane, ranjivosti koje zahtijevaju administratorska prava za iskorištavanje čine 30,71% prijavljenih ranjivosti.
Izvješće također naglašava opasnosti ukradenih lozinki i nulliranih dodataka. Slabe lozinke mogu se probiti brutalnim napadima, dok nullirani dodaci, koji su u biti ilegalne kopije dodataka bez kontrole pretplate, često sadrže sigurnosne propuste (stražnja vrata) koji dopuštaju instalaciju zlonamjernog softvera.
Također je važno napomenuti da napadi Cross-Site Request Forgery (CSRF) čine 24,74% ranjivosti koje zahtijevaju administrativne privilegije. CSRF napadi koriste tehnike društvenog inženjeringa kako bi prevarili administratore da kliknu na zlonamjernu poveznicu, dajući napadačima administratorski pristup.
Prema WPScan izvješću, najčešći tip ranjivosti koji zahtijeva malo ili nimalo provjere autentičnosti korisnika je Broken Access Control (84,99%). Ova vrsta ranjivosti omogućuje napadaču pristup privilegijama više razine od onih koje inače imaju. Druga uobičajena vrsta ranjivosti je hakiranje SQL-a (20,64%), koje napadačima može omogućiti pristup ili neovlašteno mijenjanje baze podataka WordPress-a.