Het nieuwe rapport kwetsbaarheid2024 WordPress Trends van WPScan brengt belangrijke trends aan het licht waarvan WordPress-webmasters (en SEO's) op de hoogte moeten zijn om voorop te blijven lopen veiligheid van hun websites.
Het rapport benadrukt dat, hoewel het aantal kritische kwetsbaarheden laag is (slechts 2,38%), de bevindingen website-eigenaren niet geruststellen. Bijna 20% van de gerapporteerde kwetsbaarheden wordt gecategoriseerd als een hoog of kritiek dreigingsniveau, terwijl kwetsbaarheden met een gemiddelde ernst de meerderheid vormen (67,12%). Het is belangrijk om te beseffen dat gematigde kwetsbaarheden niet mogen worden genegeerd, omdat ze kunnen worden uitgebuit door slimme mensen.
Het rapport bekritiseert gebruikers niet vanwege malware en kwetsbaarheden. Hij wijst er echter op dat sommige fouten van webmasters het voor hackers gemakkelijker kunnen maken om kwetsbaarheden te misbruiken.
Een belangrijke bevinding is dat voor 22% van de gemelde kwetsbaarheden niet eens gebruikersgegevens of alleen abonneegegevens nodig zijn, waardoor deze bijzonder gevaarlijk zijn. Aan de andere kant zijn kwetsbaarheden waarvoor beheerdersrechten nodig zijn om te kunnen misbruiken, verantwoordelijk voor 30,71% van de gerapporteerde kwetsbaarheden.
Het rapport benadrukt ook de gevaren van gestolen wachtwoorden en nulled-plug-ins. Zwakke wachtwoorden kunnen worden gekraakt met brute-force-aanvallen, terwijl nulled-plug-ins, die in wezen illegale kopieën zijn van plug-ins zonder abonnementscontrole, vaak beveiligingslekken (backdoors) bevatten die de installatie van malware mogelijk maken.
Het is ook belangrijk op te merken dat Cross-Site Request Forgery (CSRF)-aanvallen verantwoordelijk zijn voor 24,74% van de kwetsbaarheden waarvoor beheerdersrechten vereist zijn. CSRF-aanvallen maken gebruik van social engineering-technieken om beheerders te misleiden zodat ze op een kwaadaardige link klikken, waardoor aanvallers beheerderstoegang krijgen.
Volgens het WPScan-rapport is Broken Access Control het meest voorkomende type kwetsbaarheid waarvoor weinig of geen gebruikersauthenticatie nodig is (84,99%). Door dit type kwetsbaarheid kan een aanvaller toegang krijgen tot bevoegdheden op een hoger niveau dan hij normaal gesproken heeft. Een ander veelvoorkomend type kwetsbaarheid is SQL-hacking (20,64%), waardoor aanvallers toegang kunnen krijgen tot de WordPress-database of ermee kunnen knoeien.