2024 年 WPScan WordPress 安全报告显示了许多网站不断犯的错误并导致网站受到攻击
WordPress 安全扫描器 WPScan 的 2024 年 WordPress 漏洞报告呼吁人们关注 WordPress 漏洞趋势,并建议网站发布商(和 SEO)应注意的事项。
该报告的一些主要发现是,略高于 20% 的漏洞被评为高或严重级别威胁,中等严重程度的威胁占报告漏洞的 67%,占大多数。许多人将中级漏洞视为低级威胁,这是一个错误,因为它们的级别并不低,应该被视为值得关注。
该报告并未将恶意软件和网站漏洞归咎于用户。但出版商所犯的错误可能会放大黑客利用漏洞的成功率。
WPScan 报告建议:
“虽然严重性不会直接转化为被利用的风险,但它是网站所有者就何时禁用或更新扩展做出明智决定的重要指南。”
WordPress 漏洞严重程度分布
威胁级别最高的关键级别漏洞仅占漏洞的 2.38%,这对 WordPress 发布商来说本质上是个好消息。然而,如前所述,与高级别威胁的百分比 (17.68%) 相结合,相关漏洞的数量上升到近 20%。
以下是按严重程度评级的百分比:
严重 2.38%
低12.83%
高17.68%
中 67.12%
经过身份验证与未经身份验证
经过身份验证的漏洞需要攻击者首先获得用户凭据及其相应的权限级别才能利用特定漏洞。需要订阅者级别身份验证的漏洞是经过身份验证的漏洞中最容易被利用的,而需要管理员级别访问权限的漏洞则风险最小(尽管由于各种原因并不总是低风险)。
未经身份验证的攻击通常最容易被利用,因为任何人都可以发起攻击,而无需首先获取用户凭据。
WPScan 漏洞报告发现,大约 22% 的报告漏洞需要订阅者级别或根本不需要身份验证,这是最容易被利用的漏洞。另一方面,需要管理员权限级别的漏洞占已报告漏洞的 30.71%。
无效软件和弱密码
弱密码和无效插件是通过 Jetpack Scan 发现恶意软件的两个常见原因。无效软件是盗版插件,它们有能力验证它们是否是付费阻止的。这些插件往往带有后门,可以感染恶意软件。弱密码可以通过暴力攻击猜出。
WPScan 报告解释道:
“身份验证绕过攻击可能涉及多种技术,例如利用弱密码的弱点、猜测凭据、使用暴力攻击来猜测密码、使用网络钓鱼或借口等社会工程策略、使用权限升级技术(例如利用已知的漏洞)。软件和硬件设备或尝试默认帐户登录。”
漏洞利用所需的权限级别
需要管理员级别凭据的漏洞所占漏洞的比例最高,其次是跨站点请求伪造 (CSRF),占漏洞的 24.74%。这很有趣,因为 CSRF 是一种使用社会工程让受害者单击链接来获取用户权限级别的攻击。这是 WordPress 发布商应该意识到的一个错误,因为管理员级别用户只需点击一个链接,然后黑客就可以取得 WordPress 网站的管理员级别权限。
以下是按发起攻击所需的角色排序的漏洞利用百分比。
漏洞的用户角色升序
作者 2.19%
订阅者 10.4%
未经认证 12.35%
贡献者 19.62%
CSRF 24.74%
管理员 30.71%
需要最少身份验证的最常见漏洞类型
WordPress 上下文中的访问控制损坏是指安全故障,该故障可能允许攻击者在没有必要的权限凭据的情况下获得更高凭据权限的访问权限。
在报告中查看未经身份验证或订阅者级别漏洞的发生率和漏洞的部分(未经身份验证或订阅者+报告的发生率与漏洞),WPScan 细分了最常见的每种漏洞类型的百分比,这些漏洞类型是最容易利用的启动(因为它们需要最少甚至不需要用户凭据身份验证)。
WPScan 威胁报告指出,破坏访问控制的比例高达 84.99%,其次是 SQL 注入 (20.64%)。
开放全球应用程序安全项目 (OWASP)将损坏的访问控制定义为:
“访问控制,有时称为授权,是 Web 应用程序如何向某些用户而不是其他用户授予对内容和功能的访问权限。这些检查在身份验证后执行,并控制允许“授权”用户执行的操作。
访问控制听起来是一个简单的问题,但正确实施却非常困难。 Web 应用程序的访问控制模型与站点提供的内容和功能密切相关。此外,用户可能属于多个具有不同能力或特权的组或角色。”
SQL 注入占 20.64%,是第二大最常见的漏洞类型,WPScan 在需要最低身份验证级别的漏洞背景下将其称为“高严重性和风险”,因为攻击者可以访问和/或篡改作为数据库的数据库。每个 WordPress 网站的核心。
这些是百分比:
访问控制损坏 84.99%
SQL注入20.64%
跨站脚本 9.4%
未经身份验证的任意文件上传 5.28%
敏感数据泄露 4.59%
不安全的直接对象引用 (IDOR) 3.67%
远程代码执行 2.52%
其他 14.45%
WordPress 核心本身的漏洞
绝大多数漏洞问题是在第三方插件和主题中报告的。然而,2023 年 WordPress 核心本身共报告了 13 个漏洞。在这 13 个漏洞中,只有一个被评为高严重性威胁,这是第二高级别,“严重”是最高级别的漏洞威胁,这是由通用漏洞评分系统 (CVSS) 维护的评级评分系统。
WordPress 核心平台本身遵循最高标准,并受益于在发现和修补漏洞方面保持警惕的全球社区。
网站安全应被视为技术搜索引擎优化
站点审核通常不涵盖网站安全,但在我看来,每个负责任的审核至少应该讨论安全标头。正如我多年来一直所说的那样,一旦网站的排名由于受到漏洞的影响而开始从搜索引擎结果页面 (SERP) 中消失,网站安全很快就会成为 SEO 问题。这就是为什么积极主动地保护网站安全至关重要。
根据 WPScan 报告,被黑网站的主要入口点是泄露的凭据和弱密码。确保强大的密码标准和双因素身份验证是每个网站安全立场的重要组成部分。
使用安全标头是帮助防止跨站点脚本和其他类型漏洞的另一种方法。
最后,WordPress 防火墙和网站强化也是保护网站安全的有用的主动方法。我曾经在我创建的一个全新网站上添加了一个论坛,但几分钟之内它就立即受到攻击。不管您是否相信,全球几乎每个网站每天 24 小时都受到机器人扫描漏洞的攻击。
如果你需要专业wordpress网站建设,外贸网站建设,请联系我们 www.xmhudong.com