Yeni rapor Güvenlik açığıWPScan'in 2024 WordPress Trendleri, WordPress web yöneticilerinin (ve SEO'ların) önde kalmak için bilmesi gereken önemli trendleri gün ışığına çıkarıyor güvenlik web sitelerinden.
Rapor, kritik güvenlik açıklarının oranlarının düşük olmasına rağmen (sadece %2,38), bulguların web sitesi sahiplerine güven vermemesi gerektiğini vurguluyor. Bildirilen güvenlik açıklarının neredeyse %20'si yüksek veya kritik tehdit düzeyi olarak sınıflandırılırken, orta önemdeki güvenlik açıkları çoğunluğu (%67,12) oluşturuyor. Orta düzeydeki güvenlik açıklarının, akıllı kişiler tarafından istismar edilebileceği için göz ardı edilmemesi gerektiğinin farkına varmak önemlidir.
Rapor, kullanıcıları kötü amaçlı yazılım ve güvenlik açıkları nedeniyle eleştirmiyor. Ancak web yöneticilerinin yaptığı bazı hataların, bilgisayar korsanlarının güvenlik açıklarından yararlanmasını kolaylaştırabileceğine dikkat çekiyor.
Önemli bir bulgu, bildirilen güvenlik açıklarının %22'sinin kullanıcı kimlik bilgilerine bile ihtiyaç duymaması veya yalnızca abone kimlik bilgileri gerektirmesidir, bu da onları özellikle tehlikeli hale getiriyor. Öte yandan, yönetici haklarının istismar edilmesini gerektiren güvenlik açıkları, bildirilen güvenlik açıklarının %30,71'ini oluşturuyor.
Raporda ayrıca çalınan şifrelerin ve geçersiz eklentilerin tehlikeleri de vurgulanıyor. Zayıf şifreler kaba kuvvet saldırılarıyla kırılabilirken, aslında abonelik kontrolü olmayan eklentilerin yasa dışı kopyaları olan geçersiz eklentiler genellikle kötü amaçlı yazılımların yüklenmesine izin veren güvenlik açıkları (arka kapılar) içerir.
Siteler Arası İstek Sahteciliği (CSRF) saldırılarının, yönetici ayrıcalıkları gerektiren güvenlik açıklarının %24,74'ünü oluşturduğunu da unutmamak gerekir. CSRF saldırıları, yöneticileri kötü amaçlı bir bağlantıya tıklamaları için kandırmak ve saldırganlara yönetici erişimi sağlamak için sosyal mühendislik tekniklerini kullanır.
WPScan raporuna göre, çok az kullanıcı kimlik doğrulaması gerektiren veya hiç kimlik doğrulaması gerektirmeyen en yaygın güvenlik açığı türü, Kırık Erişim Kontrolü (%84,99) oluyor. Bu tür bir güvenlik açığı, saldırganın normalde sahip olduğundan daha yüksek düzeyde ayrıcalıklara erişmesine olanak tanır. Diğer bir yaygın güvenlik açığı türü, saldırganların WordPress veritabanına erişmesine veya bu veritabanını kurcalamasına olanak tanıyan SQL hacklemesidir (%20,64).