2024年WordPress漏洞报告显示网站不断犯的错误

WordPress 安全扫描程序 WPScan 的 2024 年 WordPress 漏洞报告呼吁人们关注 WordPress 漏洞趋势，并建议网站发布者（和 SEO）应该注意的事项。

该报告的一些主要发现是，超过20%的漏洞被评为高级别或严重威胁，中等严重性威胁占报告漏洞的67%，占大多数。许多人认为中级漏洞是低级威胁，这是一个错误，因为它们不是低级的，应该被视为值得关注。

该报告不会将恶意软件和网站漏洞归咎于用户。但是，出版商所犯的错误可能会放大黑客利用漏洞的成功。

WPScan报告建议：

“虽然严重性并不能直接转化为被利用的风险，但对于网站所有者来说，这是一个重要的指导方针，可以就何时禁用或更新扩展程序做出明智的决定。”

WordPress漏洞严重性分布

临界级别的漏洞，最高级别的威胁，仅占漏洞的2.38%，这对WordPress发布者来说基本上是个好消息。然而，如前所述，当与高级威胁的百分比（17.68%）相结合时，漏洞的数量或相关漏洞上升到近20%。

以下是按严重等级划分的百分比：

• 关键 2.38%
• 最低 12.83%
• 最高 17.68%
• 中等 67.12%

经过身份验证与未经身份验证

经过身份验证的漏洞是指攻击者需要首先获取用户凭据及其附带的权限级别才能利用特定漏洞的漏洞。需要订阅者级身份验证的漏洞利用是经过身份验证的漏洞中最容易利用的，而需要管理员级别访问权限的漏洞利用风险最小（尽管由于各种原因并不总是低风险）。

未经身份验证的攻击通常最容易被利用，因为任何人都可以发起攻击，而无需先获取用户凭据。

WPScan 漏洞报告发现，大约 22% 的报告漏洞需要订阅者级别或根本不需要身份验证，这是最容易被利用的漏洞。在可利用性规模的另一端是需要管理员权限级别的漏洞，占报告漏洞总数的 30.71%。

无效软件和弱密码

弱密码和无效插件是通过 Jetpack Scan 发现的恶意软件的两个常见原因。 nulled 软件是盗版插件，它们能够验证它们是否被阻止。这些插件往往有后门，可以感染恶意软件。弱密码可以通过暴力攻击来猜测。

WPScan 报告解释道：

“身份验证绕过攻击可能涉及多种技术，例如利用弱密码的弱点、猜测凭据、使用暴力攻击来猜测密码、使用网络钓鱼或借口等社会工程策略、使用权限升级技术（例如利用软件和硬件设备中的已知漏洞或尝试默认帐户登录。”

漏洞利用所需的权限级别

需要管理员级别凭据的漏洞占漏洞利用的比例最高，其次是跨站请求伪造 （CSRF），占漏洞的 24.74%。这很有趣，因为 CSRF 是一种使用社会工程让受害者点击从中获取用户权限级别的链接的攻击。这是WordPress发布者应该注意的错误，因为管理员级别的用户只需要点击一个链接，然后黑客就可以对WordPress网站具有管理员级别的权限。

以下是按发起攻击所需的角色排序的漏洞利用百分比。

漏洞的用户角色升序

• 作者 2.19%
• 订阅者 10.4%
• 未经身份验证 12.35%
• 贡献者 19.62%
• CSRF 24.74%
• 管理员 30.71%

需要最少身份验证的最常见漏洞类型

WordPress 上下文中的访问控制中断是指一种安全故障，它可能允许没有必要权限凭据的攻击者获得更高凭据权限的访问权限。

在报告的“未验证漏洞”或“订阅者级漏洞”（“发生率与”未经身份验证或订阅者+“报告的漏洞）的部分中，WPScan细分了最容易启动的漏洞中最常见的每种漏洞类型的百分比（因为它们需要最少或不需要用户凭据身份验证）。

WPScan 威胁报告指出，Broken Access Control 占比高达 84.99%，其次是 SQL 注入 （20.64%）。

开放全球应用程序安全项目 （OWASP） 将 Broken Access Control 定义为：

“访问控制，有时称为授权，是 Web 应用程序如何向某些用户而不是其他用户授予对内容和功能的访问权限。这些检查在身份验证后执行，并控制允许“授权”用户执行的操作。

访问控制听起来像是一个简单的问题，但很难正确实现。Web 应用程序的访问控制模型与网站提供的内容和功能密切相关。此外，用户可能属于具有不同能力或特权的多个组或角色。

SQL注入占20.64%，是第二普遍的漏洞类型，WPScan在需要最低身份验证级别的漏洞的背景下将其称为“高严重性和风险”，因为攻击者可以访问和/或篡改数据库，这是每个WordPress网站的核心。

这些是百分比：

• 访问控制损坏 84.99%
• SQL注入 20.64%
• 跨站点脚本 9.4%
• 未经身份验证的任意文件上传 5.28%
• 敏感数据泄露 4.59%
• 不安全的直接对象引用 （IDOR） 3.67%
• 远程代码执行 2.52%
• 其他 14.45%

WordPress核心本身的漏洞

绝大多数漏洞问题都是在第三方插件和主题中报告的。然而，在 2023 年，WordPress 核心本身总共报告了 13 个漏洞。在 13 个漏洞中，只有一个被评为高严重性威胁，这是第二高级别，严重是最高级别的漏洞威胁，这是由通用漏洞评分系统 （CVSS） 维护的评级评分系统。

WordPress 核心平台本身遵循最高标准，并受益于在发现和修补漏洞方面保持警惕的全球社区。

网站安全应被视为技术性SEO

网站审计通常不包括网站安全，但在我看来，每个负责任的审计至少应该谈论安全标题。正如我多年来一直在说的那样，一旦网站的排名由于受到漏洞的影响而开始从搜索引擎结果页面 （SERP） 中消失，网站安全很快就会成为一个 SEO 问题。这就是为什么积极主动地关注网站安全至关重要的原因。

根据WPScan报告，被黑客入侵网站的主要入口点是泄露的凭据和弱密码。确保强大的密码标准和双因素身份验证是每个网站安全立场的重要组成部分。

使用安全标头是帮助防范跨站点脚本和其他类型的漏洞的另一种方法。

最后，WordPress 防火墙和网站强化也是网站安全的有用主动方法。我曾经在我创建的全新网站上添加了一个论坛，它在几分钟内立即受到攻击。信不信由你，全球几乎每个网站都受到机器人扫描漏洞的 24 小时攻击。