Báo cáo bảo mật WPScan WordPress 2024 cho thấy những lỗi mà nhiều trang web vẫn mắc phải và dẫn đến các trang web bị xâm nhập
Trình quét bảo mật WordPress Báo cáo về lỗ hổng WordPress năm 2024 của WPScan kêu gọi sự chú ý đến xu hướng lỗ hổng bảo mật của WordPress và đề xuất những điều mà các nhà xuất bản trang web (và người làm SEO) nên chú ý.
Một số phát hiện chính từ báo cáo là chỉ hơn 20% lỗ hổng được đánh giá là mối đe dọa ở mức độ cao hoặc nghiêm trọng, với các mối đe dọa ở mức độ nghiêm trọng trung bình, chiếm 67% số lỗ hổng được báo cáo, chiếm phần lớn. Nhiều người coi các lỗ hổng ở cấp độ trung bình như thể chúng là mối đe dọa ở cấp độ thấp và đó là một sai lầm vì chúng không phải ở cấp độ thấp và cần được coi là đáng được quan tâm.
Báo cáo không đổ lỗi cho người dùng về lỗ hổng phần mềm độc hại và trang web. Nhưng những sai lầm do nhà xuất bản mắc phải có thể khuếch đại sự thành công của tin tặc khai thác lỗ hổng.
Báo cáo WPScan khuyên:
“Mặc dù mức độ nghiêm trọng không trực tiếp dẫn đến nguy cơ bị khai thác, nhưng đây là hướng dẫn quan trọng để chủ sở hữu trang web đưa ra quyết định sáng suốt về thời điểm vô hiệu hóa hoặc cập nhật tiện ích mở rộng.”
Phân phối mức độ nghiêm trọng của lỗ hổng WordPress
Các lỗ hổng ở mức độ nghiêm trọng, mức độ đe dọa cao nhất, chỉ chiếm 2,38% số lỗ hổng, đây thực chất là tin tốt cho các nhà xuất bản WordPress. Tuy nhiên, như đã đề cập trước đó, khi kết hợp với tỷ lệ phần trăm các mối đe dọa cấp cao (17,68%), số lượng hoặc các lỗ hổng liên quan tăng lên gần 20%.
Dưới đây là tỷ lệ phần trăm theo xếp hạng mức độ nghiêm trọng:
- Nguy hiểm 2,38%
- Thấp 12,83%
- Cao 17,68%
- Trung bình 67,12%
Được xác thực so với không được xác thực
Các lỗ hổng được xác thực là những lỗ hổng yêu cầu kẻ tấn công trước tiên phải có được thông tin xác thực của người dùng và mức cấp phép đi kèm của họ để khai thác một lỗ hổng cụ thể. Các khai thác yêu cầu xác thực ở cấp độ người đăng ký là khai thác dễ bị khai thác nhất trong số các khai thác được xác thực và những khai thác yêu cầu quyền truy cập ở cấp quản trị viên có ít rủi ro nhất (mặc dù không phải lúc nào cũng có rủi ro thấp vì nhiều lý do).
Các cuộc tấn công không được xác thực thường dễ khai thác nhất vì bất kỳ ai cũng có thể khởi động một cuộc tấn công mà không cần phải có thông tin xác thực của người dùng trước.
Báo cáo về lỗ hổng WPScan cho thấy khoảng 22% lỗ hổng được báo cáo yêu cầu cấp độ người đăng ký hoặc hoàn toàn không có xác thực, đại diện cho các lỗ hổng dễ bị khai thác nhất. Ở đầu bên kia của khả năng khai thác là các lỗ hổng yêu cầu cấp độ quyền của quản trị viên, chiếm tổng cộng 30,71% lỗ hổng được báo cáo.
Phần mềm không có giá trị và mật khẩu yếu
Mật khẩu yếu và plugin không có giá trị là hai lý do phổ biến khiến phần mềm độc hại được tìm thấy thông qua Jetpack Scan. Phần mềm không có giá trị là các plugin vi phạm bản quyền có khả năng xác thực xem chúng có được trả tiền để bị chặn hay không. Các plugin này có xu hướng có các cửa sau tạo điều kiện cho việc lây nhiễm phần mềm độc hại. Mật khẩu yếu có thể bị đoán thông qua các cuộc tấn công vũ phu.
Báo cáo WPScan giải thích:
“Các cuộc tấn công bỏ qua xác thực có thể liên quan đến nhiều kỹ thuật khác nhau, chẳng hạn như khai thác điểm yếu trong mật khẩu yếu, đoán thông tin xác thực, sử dụng các cuộc tấn công vũ phu để đoán mật khẩu, sử dụng các chiến thuật kỹ thuật xã hội như lừa đảo hoặc lấy cớ, sử dụng các kỹ thuật leo thang đặc quyền như khai thác các lỗ hổng đã biết trong thiết bị phần mềm và phần cứng hoặc thử đăng nhập tài khoản mặc định.”
Cấp độ quyền cần thiết để khai thác
Các lỗ hổng yêu cầu thông tin xác thực cấp quản trị viên chiếm tỷ lệ khai thác cao nhất, tiếp theo là Giả mạo yêu cầu trang web chéo (CSRF) với 24,74% lỗ hổng. Điều này thật thú vị vì CSRF là một cuộc tấn công sử dụng kỹ thuật xã hội để khiến nạn nhân nhấp vào liên kết mà từ đó có được cấp độ quyền của người dùng. Đây là một sai lầm mà các nhà xuất bản WordPress nên biết vì tất cả những gì người dùng cấp quản trị viên phải theo là một liên kết, sau đó cho phép tin tặc chiếm các đặc quyền cấp quản trị viên đối với trang web WordPress.
Sau đây là tỷ lệ phần trăm khai thác được sắp xếp theo vai trò cần thiết để khởi động một cuộc tấn công.
Thứ tự tăng dần của vai trò người dùng đối với các lỗ hổng
- Tác giả 2,19%
- Người đăng ký 10,4%
- Không xác thực 12,35%
- Người đóng góp 19,62%
- CSRF 24,74%
- Quản trị viên 30,71%
Các loại lỗ hổng phổ biến nhất yêu cầu xác thực tối thiểu
Kiểm soát truy cập bị hỏng trong bối cảnh WordPress đề cập đến một lỗi bảo mật có thể cho phép kẻ tấn công mà không có thông tin xác thực cần thiết để có quyền truy cập vào các quyền thông tin xác thực cao hơn.
Trong phần báo cáo xem xét các lần xuất hiện và lỗ hổng liên quan đến các lỗ hổng không được xác thực hoặc cấp độ người đăng ký được báo cáo (Xuất hiện so với Lỗ hổng trên các báo cáo Không được xác thực hoặc Người đăng ký+), WPScan chia nhỏ tỷ lệ phần trăm cho từng loại lỗ hổng phổ biến nhất đối với các cách khai thác dễ dàng nhất để khởi chạy (vì chúng yêu cầu tối thiểu hoặc không yêu cầu xác thực thông tin xác thực người dùng).
Báo cáo về mối đe dọa WPScan lưu ý rằng Kiểm soát truy cập bị hỏng chiếm tỷ lệ khổng lồ 84,99%, sau đó là SQL SQL (20,64%).
Dự án bảo mật ứng dụng toàn cầu mở (OWASP) định nghĩa Kiểm soát truy cập bị hỏng là :
“Kiểm soát quyền truy cập, đôi khi được gọi là ủy quyền, là cách ứng dụng web cấp quyền truy cập vào nội dung và chức năng cho một số người dùng chứ không phải những người khác. Những bước kiểm tra này được thực hiện sau khi xác thực và chi phối những gì người dùng ‘được ủy quyền’ được phép thực hiện.
Kiểm soát truy cập nghe có vẻ là một vấn đề đơn giản nhưng lại cực kỳ khó thực hiện một cách chính xác. Mô hình kiểm soát truy cập của ứng dụng web gắn chặt với nội dung và chức năng mà trang web cung cấp. Ngoài ra, người dùng có thể thuộc một số nhóm hoặc vai trò với các khả năng hoặc đặc quyền khác nhau.”
SQL SQL, ở mức 20,64% đại diện cho loại lỗ hổng phổ biến thứ hai, mà WPScan gọi là “mức độ nghiêm trọng và rủi ro cao” trong bối cảnh các lỗ hổng yêu cầu mức xác thực tối thiểu vì kẻ tấn công có thể truy cập và/hoặc giả mạo cơ sở dữ liệu. trái tim của mọi trang web WordPress.
Đây là tỷ lệ phần trăm:
- Kiểm soát truy cập bị hỏng 84,99%
- Tiêm SQL 20,64%
- Tập lệnh chéo trang 9,4%
- Tải lên tệp tùy ý không được xác thực 5,28%
- Tiết lộ dữ liệu nhạy cảm 4,59%
- Tham chiếu đối tượng trực tiếp không an toàn (IDOR) 3,67%
- Thực thi mã từ xa 2,52%
- Khác 14,45%
Các lỗ hổng trong chính lõi WordPress
Phần lớn các vấn đề về lỗ hổng bảo mật đã được báo cáo trong các plugin và chủ đề của bên thứ ba. Tuy nhiên, vào năm 2023 đã có tổng cộng 13 lỗ hổng được báo cáo trong chính lõi WordPress. Trong số mười ba lỗ hổng, chỉ một trong số chúng được đánh giá là mối đe dọa nghiêm trọng cao, ở mức cao thứ hai, trong đó Nguy hiểm là mối đe dọa lỗ hổng cấp cao nhất, hệ thống tính điểm xếp hạng được duy trì bởi Hệ thống chấm điểm lỗ hổng bảo mật chung (CVSS).
Bản thân nền tảng cốt lõi của WordPress được tuân thủ các tiêu chuẩn cao nhất và được hưởng lợi từ một cộng đồng toàn cầu luôn cảnh giác trong việc phát hiện và vá các lỗ hổng.
Bảo mật trang web nên được coi là SEO kỹ thuật
Kiểm tra trang web thường không bao gồm bảo mật trang web nhưng theo tôi, mọi cuộc kiểm tra có trách nhiệm ít nhất nên nói về các tiêu đề bảo mật. Như tôi đã nói trong nhiều năm, bảo mật trang web nhanh chóng trở thành một vấn đề SEO khi thứ hạng của trang web bắt đầu biến mất khỏi các trang kết quả của công cụ tìm kiếm (SERP) do bị xâm phạm bởi một lỗ hổng. Đó là lý do tại sao việc chủ động về bảo mật trang web là rất quan trọng.
Theo báo cáo của WPScan, điểm xâm nhập chính của các trang web bị tấn công là thông tin xác thực bị rò rỉ và mật khẩu yếu. Đảm bảo các tiêu chuẩn mật khẩu mạnh cộng với xác thực hai yếu tố là một phần quan trọng trong quan điểm bảo mật của mọi trang web.
Sử dụng tiêu đề bảo mật là một cách khác để giúp bảo vệ chống lại Cross-Site Scripting và các loại lỗ hổng khác.
Cuối cùng, tường lửa WordPress và tăng cường bảo mật trang web cũng là những cách tiếp cận chủ động hữu ích để bảo mật trang web. Tôi đã từng thêm một diễn đàn vào một trang web hoàn toàn mới mà tôi tạo và nó ngay lập tức bị tấn công trong vòng vài phút. Dù bạn có tin hay không, hầu như mọi trang web trên toàn thế giới đều bị tấn công 24 giờ một ngày bởi các bot quét tìm lỗ hổng.
