Der neue Bericht Verletzlichkeit2024 WordPress Trends von WPScan bringt wichtige Trends ans Licht, die WordPress-Webmaster (und SEOs) kennen müssen, um sie aufrechtzuerhalten Sicherheit ihrer Websites.
Der Bericht betont, dass die Rate kritischer Schwachstellen zwar niedrig ist (nur 2,38 %), die Ergebnisse jedoch keine Beruhigung für Website-Besitzer darstellen sollten. Fast 20 % der gemeldeten Schwachstellen werden als hohe oder kritische Bedrohungsstufe eingestuft, während Schwachstellen mit mittlerem Schweregrad die Mehrheit ausmachen (67,12 %). Es ist wichtig zu erkennen, dass moderate Schwachstellen nicht ignoriert werden sollten, da sie von klugen Köpfen ausgenutzt werden können.
Der Bericht kritisiert Benutzer nicht wegen Malware und Schwachstellen. Allerdings weist er darauf hin, dass einige Fehler von Webmastern es Hackern erleichtern können, Schwachstellen auszunutzen.
Eine wichtige Erkenntnis ist, dass für 22 % der gemeldeten Schwachstellen nicht einmal Benutzeranmeldeinformationen oder nur Abonnentenanmeldeinformationen erforderlich sind, was sie besonders gefährlich macht. Andererseits machen Schwachstellen, für deren Ausnutzung Administratorrechte erforderlich sind, 30,71 % der gemeldeten Schwachstellen aus.
Der Bericht hebt auch die Gefahren gestohlener Passwörter und ungültiger Plugins hervor. Schwache Passwörter können mit Brute-Force-Angriffen geknackt werden, während Nulled-Plugins, bei denen es sich im Wesentlichen um illegale Kopien von Plugins ohne Abonnementkontrolle handelt, häufig Sicherheitslücken (Hintertüren) enthalten, die die Installation von Malware ermöglichen.
Es ist auch wichtig zu beachten, dass Cross-Site Request Forgery (CSRF)-Angriffe 24,74 % der Schwachstellen ausmachen, die Administratorrechte erfordern. CSRF-Angriffe nutzen Social-Engineering-Techniken, um Administratoren dazu zu verleiten, auf einen schädlichen Link zu klicken, wodurch Angreifer Administratorzugriff erhalten.
Dem WPScan-Bericht zufolge ist Broken Access Control (84,99 %) die häufigste Art von Sicherheitslücke, die nur eine geringe oder gar keine Benutzerauthentifizierung erfordert. Diese Art von Schwachstelle ermöglicht es einem Angreifer, sich Zugriff auf höhere Privilegien zu verschaffen, als er normalerweise hat. Eine weitere häufige Art von Schwachstelle ist SQL-Hacking (20,64 %), die es Angreifern ermöglichen kann, auf die WordPress-Datenbank zuzugreifen oder diese zu manipulieren.