הדו"ח החדש פגיעות2024 וורדפרס טרנדים מאת WPScan מביאים לידי ביטוי מגמות חשובות שמנהלי אתרי וורדפרס (ואנשי קידום אתרים) צריכים להיות מודעים אליהם כדי לשמור על בִּטָחוֹן של אתרי האינטרנט שלהם.
הדו"ח מדגיש כי בעוד ששיעורי הפגיעות הקריטיות נמוכים (2,38% בלבד), הממצאים אינם צריכים להרגיע את בעלי האתרים. כמעט 20% מהחולשות המדווחות מסווגות כרמת איום גבוהה או קריטית, בעוד שפגיעויות בדרגת חומרה בינונית מהוות את הרוב (67,12%). חשוב להבין שאין להתעלם מפגיעויות מתונות מכיוון שהן יכולות להיות מנוצלות על ידי נבון.
הדו"ח אינו מבקר משתמשים על תוכנות זדוניות ופגיעויות. עם זאת, הוא מציין שכמה טעויות של מנהלי אתרים יכולות להקל על האקרים לנצל נקודות תורפה.
ממצא חשוב הוא ש-22% מהחולשות המדווחות אפילו לא דורשות אישורי משתמש או רק מחייבות אישורי מנוי, מה שהופך אותן למסוכנות במיוחד. מצד שני, נקודות תורפה הדורשות זכויות מנהל לניצול מהוות 30,71% מהפגיעויות המדווחות.
הדו"ח גם מדגיש את הסכנות של סיסמאות גנובות ותוספים מובטלים. ניתן לפצח סיסמאות חלשות עם התקפות בכוח גס, בעוד תוספים בטלים, שהם בעצם עותקים לא חוקיים של תוספים ללא בקרת מנויים, מכילים לרוב פערי אבטחה (דלתות אחוריות) המאפשרות התקנת תוכנות זדוניות.
כמו כן, חשוב לציין שהתקפות Cross-Site Request Forgery (CSRF) מהוות 24,74% מהחולשות הדורשות הרשאות ניהול. התקפות CSRF משתמשות בטכניקות הנדסה חברתית כדי להערים על מנהלי מערכת ללחוץ על קישור זדוני, מה שמעניק לתוקפים גישת מנהל.
על פי דוח WPScan, הסוג הנפוץ ביותר של פגיעות הדורש אימות משתמש מועט או ללא אימות הוא בקרת גישה שבור (84,99%). סוג זה של פגיעות מאפשר לתוקף לקבל גישה להרשאות ברמה גבוהה יותר ממה שיש לו בדרך כלל. סוג נפוץ נוסף של פגיעות הוא פריצת SQL (20,64%), שיכולה לאפשר לתוקפים לגשת או להתעסק במסד הנתונים של וורדפרס.
