O novo relatório vulnerabilidade2024 WordPress Trends by WPScan traz à luz tendências importantes que os webmasters do WordPress (e SEOs) precisam estar cientes para se manterem à frente segurança de seus sites.
O relatório sublinha que, embora as taxas de vulnerabilidades críticas sejam baixas (apenas 2,38%), as conclusões não devem tranquilizar os proprietários de websites. Quase 20% das vulnerabilidades relatadas são categorizadas como nível de ameaça alto ou crítico, enquanto as vulnerabilidades de gravidade média constituem a maioria (67,12%). É importante perceber que as vulnerabilidades moderadas não devem ser ignoradas, pois podem ser exploradas pelos astutos.
O relatório não critica os usuários por malware e vulnerabilidades. No entanto, ele ressalta que alguns erros cometidos por webmasters podem facilitar a exploração de vulnerabilidades por hackers.
Uma descoberta importante é que 22% das vulnerabilidades relatadas nem sequer exigem credenciais de usuário ou exigem apenas credenciais de assinante, o que as torna particularmente perigosas. Por outro lado, as vulnerabilidades que requerem direitos administrativos para serem exploradas representam 30,71% das vulnerabilidades relatadas.
O relatório também destaca os perigos de senhas roubadas e plug-ins anulados. Senhas fracas podem ser quebradas com ataques de força bruta, enquanto plug-ins anulados, que são essencialmente cópias ilegais de plug-ins sem controle de assinatura, geralmente contêm falhas de segurança (backdoors) que permitem a instalação de malware.
Também é importante observar que os ataques Cross-Site Request Forgery (CSRF) são responsáveis por 24,74% das vulnerabilidades que exigem privilégios administrativos. Os ataques CSRF usam técnicas de engenharia social para induzir os administradores a clicar em um link malicioso, dando aos invasores acesso de administrador.
De acordo com o relatório WPScan, o tipo de vulnerabilidade mais comum que requer pouca ou nenhuma autenticação do usuário é o Broken Access Control (84,99%). Este tipo de vulnerabilidade permite que um invasor obtenha acesso a privilégios de nível superior aos que normalmente possui. Outro tipo comum de vulnerabilidade é o hacking SQL (20,64%), que pode permitir que invasores acessem ou adulterem o banco de dados WordPress.