2024 WordPress 漏洞报告显示网站不断出错

WordPress 安全扫描仪 WPScan 的 2024 年 WordPress 漏洞报告呼吁关注 WordPress 漏洞趋势，并提出了网站发布者（和搜索引擎优化人员）应注意的问题该报告的一些主要发现是，只有 20% 多一点的漏洞被评为高级或关键级威胁，而中等严重性威胁占报告漏洞的 67%，占了大多数。

许多人将中等严重程度的漏洞视为低级威胁，这是错误的，因为它们的严重程度并不低，应该受到重视报告并未将恶意软件和网站漏洞归咎于用户但出版商所犯的错误会扩大黑客利用漏洞的成功率WPScan 报告建议:“While severity doesn’t translate directly to the risk of exploitation, it’s an important guideline for website owners to make an educated decision about when to disable or update the extension.” 虽然严重性并不能直接转化为被利用的风险，但对于网站所有者来说，这是一个重要的指导原则，可以让他们做出明智的决定，决定何时禁用或更新扩展。

WordPress 漏洞严重性分布危急级别的漏洞（最高级别的威胁）仅占漏洞总数的 2.38%，这对 WordPress 发布者来说基本上是个好消息然而，如前所述，如果加上高级威胁的百分比（17.68%），相关漏洞的数量将上升到近 20%。

以下是按严重程度分类的百分比：临界值 2.38%最低 12.83%最高 17.68%中等 67.12%

认证与非认证身份验证漏洞是那些要求攻击者首先获得用户凭证及其相应权限级别才能利用特定漏洞的漏洞需要用户级认证的漏洞是认证漏洞中最容易被利用的，而需要管理员级访问权限的漏洞风险最小（尽管由于各种原因，风险并不总是很低）。

未经验证的攻击通常最容易被利用，因为任何人都可以发动攻击，而无需首先获取用户凭证WPScan 漏洞报告发现，约 22% 的报告漏洞需要用户级别或根本不需要验证，这是最容易被利用的漏洞可利用性的另一端是需要管理员权限级别的漏洞，占报告漏洞总数的 30.71%。

无效软件和弱密码弱密码和无效插件是通过 Jetpack 扫描发现恶意软件的两个常见原因无效软件是盗版插件，其验证是否付费的功能被屏蔽这些插件往往有后门，可以感染恶意软件弱密码可通过暴力破解攻击猜出WPScan 报告解释说：

“Authentication bypass attacks could involve a variety of techniques, such as exploiting weaknesses in weak passwords, guessing credentials, using brute force attacks to guess passwords, using social engineering tactics such as phishing or pretexting, using privilege escalation techniques such as exploiting known vulnerabilities in software and hardware devices or trying default account logins.”  身份验证绕过攻击可能涉及多种技术，如利用弱密码的弱点、猜测凭证、使用暴力攻击猜测密码、使用社会工程学策略（如网络钓鱼或借口）、使用权限升级技术（如利用软件和硬件设备中的已知漏洞）或尝试默认账户登录。

漏洞利用所需的权限级别需要管理员级别凭证的漏洞所占比例最高，其次是跨站请求伪造（CSRF）漏洞，占 24.74%这一点很有意思，因为 CSRF 是一种利用社会工程学让受害者点击链接以获取用户权限级别的攻击。

这是 WordPress 发布者应该注意的一个错误，因为只要管理员级别的用户点击一个链接，黑客就能获得 WordPress 网站的管理员级别权限以下是按发起攻击所需的角色排列的漏洞利用百分比按用户角色升序排列漏洞。

作者 2.19%用户 10.4%未经身份认证 12.35%贡献者 19.62%CSRF 24.74%管理员 30.71%需要最低限度身份验证的最常见漏洞类型WordPress 中的“访问控制失效”指的是一种安全故障，它可以让没有必要权限凭证的攻击者获得更高的凭证权限。

在报告中查看未认证或用户级漏洞报告的发生率和漏洞的部分（未认证或用户+报告的发生率与漏洞），WPScan 细分了每种漏洞类型的百分比，最常见的漏洞类型是最容易启动的漏洞利用（因为它们只需要极少的用户凭据认证，甚至不需要）。

WPScan 威胁报告指出，破坏访问控制的比例高达 84.99%，其次是 SQL 注入（20.64%）开放式全球应用安全项目（OWASP）将“破坏性访问控制”定义为：“Access control, sometimes called authorization, is how a web application grants access to content and functions to some users and not others. These checks are performed after authentication, and govern what ‘authorized’ users are allowed to do.   访问控制，有时也称为授权，是指网络应用程序如何允许某些用户访问内容和功能，而不允许其他用户访问。

这些检查在身份验证后进行，并规定 "授权"用户可以做什么Access control sounds like a simple problem but is insidiously difficult to implement correctly. A web application’s access control model is closely tied to the content and functions that the site provides. In addition, the users may fall into a number of groups or roles with different abilities or privileges.”   访问控制听起来是个简单的问题，但要正确实施却非常困难。

网络应用程序的访问控制模型与网站提供的内容和功能密切相关此外，用户可能属于多个具有不同能力或权限的组或角色SQL 注入占 20.64%，是第二类最普遍的漏洞，WPScan 将其称为“高严重性和高风险”漏洞，因为攻击者可以访问和/或篡改数据库，而数据库是每个 WordPress 网站的核心。

这些是百分比：访问控制损坏 84.99%SQL 注入 20.64%跨站脚本 9.4%未经验证的任意文件上传 5.28%敏感数据披露 4.59%不安全的直接对象参照 (IDOR) 3.67%远程代码执行 2.52%

其他 14.45%WordPress 内核本身的漏洞绝大多数漏洞问题都是在第三方插件和主题中报告的不过，在 2023 年，WordPress 内核本身共报告了 13 个漏洞在这 13 个漏洞中，只有一个被评为“。

高度严重威胁”，这是第二高的级别，“严重”是最高级别的漏洞威胁WordPress 核心平台本身符合最高标准，并得益于在发现和修补漏洞方面保持警惕的全球社区应将网站安全视为技术性搜索引擎优化网站审计通常不涉及网站安全问题，但在我看来，每一次负责任的审计至少都应该谈及安全标题。

多年来我一直在说，一旦网站因漏洞而在搜索引擎结果页面（SERP）上的排名开始下降，网站安全问题很快就会成为搜索引擎优化问题这就是为什么积极主动地保护网站安全至关重要根据 WPScan 报告，黑客入侵网站的主要入口是证书泄露和弱密码。

确保强大的密码标准和双因素身份验证是每个网站安全立场的重要组成部分使用安全标头是帮助防止跨站脚本和其他类型漏洞的另一种方法最后，WordPress 防火墙和网站加固也是有效的主动网站安全措施有一次，我在自己创建的一个全新网站上添加了一个论坛，结果几分钟内就遭到了攻击。

信不信由你，全世界几乎所有的网站每天 24 小时都在遭受扫描漏洞的机器人的攻击阅读 WPScan 报告：WPScan 2023 Website Threat Report | WPScan ---- WPScan 2024 网站威胁报告

亲爱的读者们，感谢您花时间阅读本文。如果您对本文有任何疑问或建议，请随时联系我。我非常乐意与您交流。