Ang bagong ulat kahinaanAng 2024 WordPress Trends ng WPScan ay naghahatid ng mga mahahalagang uso na kailangang malaman ng mga webmaster ng WordPress (at mga SEO) upang manatili sa unahan seguridad ng kanilang mga website.
Ang ulat ay nagbibigay-diin na habang ang mga rate ng mga kritikal na kahinaan ay mababa (2,38%) lamang, ang mga natuklasan ay hindi dapat magbigay ng katiyakan sa mga may-ari ng website. Halos 20% ng mga iniulat na kahinaan ay ikinategorya bilang mataas o kritikal na antas ng banta, habang ang mga kahinaan sa katamtamang kalubhaan ay bumubuo sa karamihan (67,12%). Mahalagang matanto na ang mga katamtamang kahinaan ay hindi dapat balewalain dahil maaari silang pagsamantalahan ng mga matalino.
Hindi pinupuna ng ulat ang mga user para sa malware at mga kahinaan. Gayunpaman, itinuturo niya na ang ilang mga pagkakamali ng mga webmaster ay maaaring gawing mas madali para sa mga hacker na pagsamantalahan ang mga kahinaan.
Ang isang mahalagang natuklasan ay ang 22% ng mga iniulat na kahinaan ay hindi nangangailangan ng mga kredensyal ng user o nangangailangan lamang ng mga kredensyal ng subscriber, na ginagawang partikular na mapanganib ang mga ito. Sa kabilang banda, ang mga kahinaan na nangangailangan ng mga karapatang pang-administratibo upang pagsamantalahan ay nagkakahalaga ng 30,71% ng mga iniulat na kahinaan.
Itinatampok din ng ulat ang mga panganib ng mga ninakaw na password at mga nulled na plugin. Maaaring ma-crack ang mga mahihinang password gamit ang mga malupit na pag-atake, habang ang mga nulled na plugin, na mahalagang mga ilegal na kopya ng mga plugin na walang kontrol sa subscription, ay kadalasang naglalaman ng mga puwang sa seguridad (mga backdoor) na nagbibigay-daan sa pag-install ng malware.
Mahalaga ring tandaan na ang mga pag-atake ng Cross-Site Request Forgery (CSRF) ay nagkakahalaga ng 24,74% ng mga kahinaan na nangangailangan ng mga pribilehiyong pang-administratibo. Gumagamit ang mga pag-atake ng CSRF ng mga diskarte sa social engineering upang linlangin ang mga administrator sa pag-click sa isang nakakahamak na link, na nagbibigay ng access sa administrator ng mga umaatake.
Ayon sa ulat ng WPScan, ang pinakakaraniwang uri ng kahinaan na nangangailangan ng kaunti o walang pagpapatunay ng user ay Broken Access Control (84,99%). Ang ganitong uri ng kahinaan ay nagbibigay-daan sa isang umaatake na magkaroon ng access sa mas mataas na antas ng mga pribilehiyo kaysa sa karaniwan nilang mayroon. Ang isa pang karaniwang uri ng kahinaan ay ang pag-hack ng SQL (20,64%), na maaaring magbigay-daan sa mga umaatake na ma-access o pakialaman ang database ng WordPress.
