新报告 漏洞WPScan 发布的 2024 年 WordPress 趋势揭示了 WordPress 网站管理员(和 SEO)需要注意的重要趋势,以保持领先地位 安全 他们的网站。
该报告强调,虽然严重漏洞的发生率很低(仅为 2,38%),但调查结果不应让网站所有者放心。报告的漏洞中近 20% 属于高威胁级别或严重威胁级别,而中等严重程度的漏洞占大多数 (67,12%)。重要的是要认识到,中等漏洞不应被忽视,因为它们可以被精明的人利用。
该报告没有批评用户的恶意软件和漏洞。不过,他指出,网站管理员的一些错误可能会让黑客更容易利用漏洞。
一个重要的发现是,22% 的报告漏洞甚至不需要用户凭据或只需要订阅者凭据,这使得它们特别危险。另一方面,需要管理员权限才能利用的漏洞占已报告漏洞的 30,71%。
该报告还强调了密码被盗和无效插件的危险。弱密码可以通过暴力攻击来破解,而无效插件本质上是没有订阅控制的插件的非法副本,通常包含允许安装恶意软件的安全漏洞(后门)。
还需要注意的是,跨站请求伪造 (CSRF) 攻击占需要管理权限的漏洞的 24,74%。 CSRF 攻击使用社会工程技术来诱骗管理员单击恶意链接,从而为攻击者提供管理员访问权限。
根据 WPScan 报告,需要很少或不需要用户身份验证的最常见漏洞类型是破坏访问控制 (84,99%)。此类漏洞允许攻击者获得比平常更高级别的权限。另一种常见的漏洞类型是 SQL 黑客攻击 (20,64%),它可以允许攻击者访问或篡改 WordPress 数据库。