Báo cáo mới sự dễ bị tổn thươngXu hướng WordPress 2024 của WPScan làm sáng tỏ những xu hướng quan trọng mà quản trị viên web WordPress (và người làm SEO) cần lưu ý để luôn dẫn đầu Bảo vệ của các trang web của họ.
Báo cáo nhấn mạnh rằng mặc dù tỷ lệ lỗ hổng nghiêm trọng thấp (chỉ 2,38%), nhưng những phát hiện này không khiến chủ sở hữu trang web yên tâm. Gần 20% lỗ hổng được báo cáo được phân loại là mức độ đe dọa cao hoặc nghiêm trọng, trong khi lỗ hổng có mức độ nghiêm trọng trung bình chiếm phần lớn (67,12%). Điều quan trọng là phải nhận ra rằng không nên bỏ qua những lỗ hổng vừa phải vì chúng có thể bị khai thác một cách sắc sảo.
Báo cáo không chỉ trích người dùng về phần mềm độc hại và lỗ hổng bảo mật. Tuy nhiên, ông chỉ ra rằng một số sai sót của quản trị viên web có thể khiến tin tặc khai thác lỗ hổng dễ dàng hơn.
Một phát hiện quan trọng là 22% lỗ hổng được báo cáo thậm chí không yêu cầu thông tin xác thực của người dùng hoặc chỉ yêu cầu thông tin xác thực của người đăng ký, khiến chúng trở nên đặc biệt nguy hiểm. Mặt khác, các lỗ hổng yêu cầu quyền quản trị để khai thác chiếm 30,71% số lỗ hổng được báo cáo.
Báo cáo cũng nhấn mạnh sự nguy hiểm của mật khẩu bị đánh cắp và các plugin bị vô hiệu hóa. Mật khẩu yếu có thể bị bẻ khóa bằng các cuộc tấn công vũ phu, trong khi các plugin không có giá trị, về cơ bản là các bản sao bất hợp pháp của các plugin không có quyền kiểm soát đăng ký, thường chứa các lỗ hổng bảo mật (cửa sau) cho phép cài đặt phần mềm độc hại.
Điều quan trọng cần lưu ý là các cuộc tấn công giả mạo yêu cầu chéo trang (CSRF) chiếm 24,74% các lỗ hổng yêu cầu đặc quyền quản trị. Các cuộc tấn công CSRF sử dụng các kỹ thuật lừa đảo xã hội để lừa quản trị viên nhấp vào liên kết độc hại, cấp cho kẻ tấn công quyền truy cập của quản trị viên.
Theo báo cáo của WPScan, loại lỗ hổng phổ biến nhất yêu cầu ít hoặc không cần xác thực người dùng là Kiểm soát truy cập bị hỏng (84,99%). Loại lỗ hổng này cho phép kẻ tấn công có được quyền truy cập vào các đặc quyền cấp cao hơn mức bình thường. Một loại lỗ hổng phổ biến khác là hack SQL (20,64%), có thể cho phép kẻ tấn công truy cập hoặc giả mạo cơ sở dữ liệu WordPress.
