Raporti i ri cenueshmëria2024 WordPress Trends nga WPScan nxjerr në dritë tendenca të rëndësishme që webmasterët e WordPress (dhe SEO-të) duhet të jenë të vetëdijshëm për të qëndruar përpara sigurinë e faqeve të tyre të internetit.
Raporti thekson se ndërsa nivelet e dobësive kritike janë të ulëta (vetëm 2,38%), gjetjet nuk duhet të qetësojnë pronarët e faqeve të internetit. Pothuajse 20% e dobësive të raportuara kategorizohen si nivele të larta ose kritike të kërcënimit, ndërsa dobësitë me ashpërsi të mesme përbëjnë shumicën (67,12%). Është e rëndësishme të kuptojmë se dobësitë e moderuara nuk duhen injoruar pasi ato mund të shfrytëzohen nga të zgjuarit.
Raporti nuk kritikon përdoruesit për malware dhe dobësi. Megjithatë, ai thekson se disa gabime nga webmasterët mund ta bëjnë më të lehtë për hakerat që të shfrytëzojnë dobësitë.
Një gjetje e rëndësishme është se 22% e dobësive të raportuara nuk kërkojnë as kredencialet e përdoruesit ose kërkojnë vetëm kredencialet e pajtimtarëve, duke i bërë ato veçanërisht të rrezikshme. Nga ana tjetër, dobësitë që kërkojnë të drejta administrative për t'u shfrytëzuar përbëjnë 30,71% të dobësive të raportuara.
Raporti thekson gjithashtu rreziqet e fjalëkalimeve të vjedhura dhe shtojcave të anuluara. Fjalëkalimet e dobëta mund të thyhen me sulme brute-force, ndërsa shtojcat e zhvlerësuara, të cilat në thelb janë kopje të paligjshme të shtojcave pa kontroll të abonimit, shpesh përmbajnë boshllëqe sigurie (backdoors) që lejojnë instalimin e malware.
Është gjithashtu e rëndësishme të theksohet se sulmet e falsifikimit të kërkesave ndër-site (CSRF) përbëjnë 24,74% të dobësive që kërkojnë privilegje administrative. Sulmet CSRF përdorin teknika të inxhinierisë sociale për të mashtruar administratorët që të klikojnë një lidhje me qëllim të keq, duke u dhënë sulmuesve akses administratori.
Sipas raportit të WPScan, lloji më i zakonshëm i cenueshmërisë që kërkon pak ose aspak vërtetim të përdoruesit është Broken Access Control (84,99%). Ky lloj cenueshmërie i lejon një sulmuesi të fitojë akses në privilegje të nivelit më të lartë se zakonisht. Një lloj tjetër i zakonshëm i cenueshmërisë është hakimi SQL (20,64%), i cili mund t'i lejojë sulmuesit të hyjnë ose të ngatërrojnë bazën e të dhënave të WordPress.
