新報告 漏洞WPScan 發布的 2024 年 WordPress 趨勢揭示了 WordPress 網站管理員(和 SEO)需要了解的重要趨勢,以便維護 安全 他們的網站。
報告強調,雖然嚴重漏洞的發生率很低(僅 2,38%),但調查結果不應讓網站所有者放心。報告的漏洞中近 20% 屬於高威脅或嚴重威脅級別,而中等嚴重程度的漏洞佔大多數 (67,12%)。重要的是要認識到,中等漏洞不應被忽視,因為它們可以被精明的人利用。
該報告沒有批評用戶的惡意軟體和漏洞。不過,他指出,網站管理員的一些錯誤可能會讓駭客更容易利用漏洞。
一個重要的發現是,22% 的報告漏洞甚至不需要使用者憑證或只需要訂閱者憑證,這使得它們特別危險。另一方面,需要管理員權限才能利用的漏洞佔已報告漏洞的 30,71%。
該報告還強調了密碼被盜和無效插件的危險。弱密碼可以透過暴力攻擊來破解,而無效插件本質上是沒有訂閱控制的插件的非法副本,通常包含允許安裝惡意軟體的安全漏洞(後門)。
另外需要注意的是,跨站請求偽造 (CSRF) 攻擊佔需要管理權限的漏洞的 24,74%。 CSRF 攻擊使用社會工程技術來誘騙管理員點擊惡意鏈接,從而為攻擊者提供管理員訪問權限。
根據 WPScan 報告,需要很少或不需要使用者驗證的最常見漏洞類型是破壞存取控制 (84,99%)。此類漏洞允許攻擊者獲得比平常更高等級的權限。另一種常見的漏洞類型是 SQL 駭客攻擊 (20,64%),它可以允許攻擊者存取或篡改 WordPress 資料庫。
