التقرير الجديد وهنتسلط اتجاهات WordPress لعام 2024 من WPScan الضوء على الاتجاهات المهمة التي يجب على مشرفي مواقع WordPress (وتحسين محركات البحث) معرفتها للبقاء في المقدمة الأمان من مواقعهم الإلكترونية.
ويؤكد التقرير أنه على الرغم من أن معدلات نقاط الضعف الحرجة منخفضة (2,38٪ فقط)، إلا أن النتائج لا ينبغي أن تطمئن أصحاب مواقع الويب. تم تصنيف ما يقرب من 20% من الثغرات الأمنية المبلغ عنها على أنها ذات مستوى تهديد مرتفع أو حرج، في حين تشكل الثغرات متوسطة الخطورة الأغلبية (67,12%). من المهم أن ندرك أنه لا ينبغي تجاهل نقاط الضعف المعتدلة حيث يمكن استغلالها من قبل الأذكياء.
ولا ينتقد التقرير المستخدمين بسبب البرامج الضارة ونقاط الضعف. ومع ذلك، يشير إلى أن بعض الأخطاء التي يرتكبها مشرفو المواقع يمكن أن تجعل من السهل على المتسللين استغلال نقاط الضعف.
ومن النتائج المهمة أن 22% من الثغرات الأمنية التي تم الإبلاغ عنها لا تتطلب حتى بيانات اعتماد المستخدم أو تتطلب فقط بيانات اعتماد المشترك، مما يجعلها خطيرة بشكل خاص. من ناحية أخرى، تمثل الثغرات التي تتطلب حقوقًا إدارية لاستغلالها 30,71% من الثغرات المبلغ عنها.
يسلط التقرير الضوء أيضًا على مخاطر كلمات المرور المسروقة والمكونات الإضافية الفارغة. يمكن اختراق كلمات المرور الضعيفة بهجمات القوة الغاشمة، في حين أن المكونات الإضافية الفارغة، والتي هي في الأساس نسخ غير قانونية من المكونات الإضافية دون التحكم في الاشتراك، غالبًا ما تحتوي على ثغرات أمنية (أبواب خلفية) تسمح بتثبيت البرامج الضارة.
من المهم أيضًا ملاحظة أن هجمات تزوير الطلبات عبر المواقع (CSRF) تمثل 24,74% من الثغرات الأمنية التي تتطلب امتيازات إدارية. تستخدم هجمات CSRF تقنيات الهندسة الاجتماعية لخداع المسؤولين للنقر على رابط ضار، مما يمنح المهاجمين حق الوصول كمسؤول.
وفقًا لتقرير WPScan، فإن أكثر أنواع الثغرات الأمنية شيوعًا والتي تتطلب القليل من مصادقة المستخدم أو لا تتطلب أي مصادقة هي التحكم في الوصول المعطوب (84,99%). يسمح هذا النوع من الثغرة الأمنية للمهاجم بالوصول إلى امتيازات ذات مستوى أعلى من تلك التي يتمتع بها عادةً. هناك نوع آخر شائع من الثغرات الأمنية وهو اختراق SQL (20,64%)، والذي يمكن أن يسمح للمهاجمين بالوصول إلى قاعدة بيانات WordPress أو التلاعب بها.
