El nou informe vulnerabilitat2024 WordPress Trends de WPScan treu a la llum tendències importants que els administradors web de WordPress (i els SEO) han de tenir en compte per mantenir-se al capdavant seguretat dels seus llocs web.
L'informe subratlla que, tot i que les taxes de vulnerabilitats crítiques són baixes (només el 2,38%), les troballes no haurien de tranquil·litzar els propietaris de llocs web. Gairebé el 20% de les vulnerabilitats notificades es classifiquen com a nivell d'amenaça alt o crític, mentre que les vulnerabilitats de gravetat mitjana constitueixen la majoria (67,12%). És important adonar-se que les vulnerabilitats moderades no s'han d'ignorar, ja que poden ser explotades pels astuts.
L'informe no critica els usuaris pel programari maliciós i les vulnerabilitats. Tanmateix, assenyala que alguns errors dels administradors web poden facilitar que els pirates informàtics explotin les vulnerabilitats.
Una troballa important és que el 22% de les vulnerabilitats notificades ni tan sols requereixen credencials d'usuari o només requereixen credencials de subscriptor, cosa que les fa especialment perilloses. D'altra banda, les vulnerabilitats que requereixen drets d'administrador per explotar representen el 30,71% de les vulnerabilitats informades.
L'informe també destaca els perills de les contrasenyes robades i els connectors anul·lats. Les contrasenyes febles es poden trencar amb atacs de força bruta, mentre que els connectors anul·lats, que són essencialment còpies il·legals de connectors sense control de subscripció, sovint contenen llacunes de seguretat (portes posteriors) que permeten la instal·lació de programari maliciós.
També és important tenir en compte que els atacs de falsificació de sol·licituds entre llocs (CSRF) representen el 24,74% de les vulnerabilitats que requereixen privilegis administratius. Els atacs CSRF utilitzen tècniques d'enginyeria social per enganyar els administradors perquè facin clic en un enllaç maliciós, donant als atacants accés d'administrador.
Segons l'informe WPScan, el tipus de vulnerabilitat més comú que requereix poca o cap autenticació d'usuari és el control d'accés trencat (84,99%). Aquest tipus de vulnerabilitat permet que un atacant tingui accés a privilegis de nivell superior del que té normalment. Un altre tipus de vulnerabilitat comú és la pirateria SQL (20,64%), que pot permetre als atacants accedir o manipular la base de dades de WordPress.