گزارش امنیتی وردپرس ۲۰۲۴ که توسط WPScan، اسکنر امنیتی وردپرس، منتشر شده است، به روندهای آسیبپذیری در وردپرس توجه دارد و پیشنهاداتی را برای ناشران وبسایت (و کارشناسان سئو) ارائه میدهد تا به مواردی که باید مراقب آنها باشند، توجه کنند.
یکی از نکات کلیدی گزارش این است که کمی بیش از ۲۰٪ از آسیبپذیریها به عنوان تهدیدات سطح بالا یا بحرانی رتبهبندی شدهاند و تهدیدات با شدت متوسط، با ۶۷٪ از آسیبپذیریهای گزارش شده، اکثریت را تشکیل میدهند. بسیاری از ناشران، آسیبپذیریهای سطح متوسط را به عنوان تهدیدات سطح پایین تلقی میکنند و برای بسیاری از آنها این آسیبپذیریها تهدیدی محسوب نمیشوند. با این حال، ناشران باید آسیبپذیری را بررسی کنند تا مطمئن شوند که نصب آنها در معرض خطر نیست.
این گزارش کاربران را برای بدافزار و آسیبپذیریهای وبسایت مقصر نمیداند، اما اشتباهاتی که توسط ناشران انجام میشود میتواند موفقیت هکرها در سوءاستفاده از آسیبپذیریها را افزایش دهد.
گزارش WPScan توصیه میکند:
“در حالی که شدت تهدید مستقیماً به ریسک بهرهبرداری ترجمه نمیشود، این یک راهنمای مهم برای صاحبان وبسایت است تا تصمیمات آگاهانهای درباره زمان غیرفعال کردن یا بهروزرسانی افزونه بگیرند.”
توزیع شدت آسیبپذیری در وردپرس
آسیبپذیریهای سطح بحرانی، که بالاترین سطح تهدید را نشان میدهند، تنها ۲.۳۸٪ از آسیبپذیریها را تشکیل میدهند که این خبر خوبی برای ناشران وردپرس است. با این حال، همانطور که قبلاً ذکر شد، وقتی درصد تهدیدات سطح بالا (۱۷.۶۸٪) با هم ترکیب میشود، تعداد آسیبپذیریهای نگرانکننده به تقریباً ۲۰٪ میرسد.
در اینجا درصدهای مربوط به رتبهبندی شدت آمده است:
- بحرانی: ۲.۳۸٪
- پایین: ۱۲.۸۳٪
- بالا: ۱۷.۶۸٪
- متوسط: ۶۷.۱۲٪
احراز هویت شده در مقابل احراز هویت نشده
آسیبپذیریهای احراز هویت شده آنهایی هستند که نیاز به دسترسی مهاجم به اعتبار کاربری و سطوح مجوز مربوطه برای بهرهبرداری از آسیبپذیری خاص دارند. سوءاستفادههایی که نیاز به احراز هویت در سطح مشترک دارند، قابل بهرهبرداریترین سوءاستفادههای احراز هویت شده هستند و آنهایی که نیاز به دسترسی در سطح مدیر دارند، کمترین ریسک را دارند (اگرچه به دلایل مختلف همیشه ریسک پایین ندارند).
حملات احراز هویت نشده به طور کلی آسانترین حملات برای بهرهبرداری هستند زیرا هر کسی میتواند بدون نیاز به دسترسی به اعتبار کاربری حمله را آغاز کند.
گزارش آسیبپذیری WPScan نشان داد که حدود ۲۲٪ از آسیبپذیریهای گزارش شده نیاز به سطح مشترک یا هیچگونه احراز هویتی نداشتند، که این آسیبپذیریها را به قابل بهرهبرداریترین آسیبپذیریها تبدیل میکند. در طرف دیگر مقیاس بهرهبرداری، آسیبپذیریهایی هستند که نیاز به سطح دسترسی مدیر دارند و مجموعاً ۳۰.۷۱٪ از آسیبپذیریهای گزارش شده را تشکیل میدهند.
نرمافزارهای نال شده و گذرواژههای ضعیف
گذرواژههای ضعیف و افزونههای نال شده دو دلیل رایج برای بدافزار یافت شده از طریق Jetpack Scan بودند. نرمافزارهای نال شده افزونههای دزدی هستند که قابلیت بررسی پرداخت بودن آنها مسدود شده است. این افزونهها معمولاً دارای درب پشتی بودند که باعث میشد بتوان به وسیله آنها با بدافزار آلوده شد. گذرواژههای ضعیف میتوانند از طریق حملات جستجوی فراگیر حدس زده شوند.
گزارش WPScan توضیح میدهد:
“حملات دور زدن احراز هویت میتواند شامل مجموعهای از تکنیکها باشد مانند سوءاستفاده از ضعفهای موجود در گذرواژههای ضعیف، حدس زدن اعتبار کاربری با استفاده از حملات جستجوی فراگیر برای حدس زدن گذرواژهها، استفاده از روشهای مهندسی اجتماعی مانند فیشینگ یا جعل هویت، استفاده از تکنیکهای افزایش امتیاز مانند سوءاستفاده از آسیبپذیریهای شناخته شده در نرمافزارها و دستگاههای سختافزاری یا تلاش برای ورود پیشفرض به حسابها.”
سطوح مجوز مورد نیاز برای سوءاستفادهها
آسیبپذیریهایی که نیاز به اعتبار مدیر دارند بیشترین درصد سوءاستفادهها را نشان میدهند، به دنبال آن جعل درخواست بین سایتی (CSRF) با ۲۴.۷۴٪ از آسیبپذیریها. این نکته جالب است زیرا CSRF حملهای است که از مهندسی اجتماعی برای کلیک کردن قربانی بر روی یک لینک استفاده میکند که از طریق آن سطوح مجوز کاربر به دست میآید. این اشتباهی است که ناشران وردپرس باید از آن آگاه باشند زیرا کافی است یک کاربر سطح مدیر بر روی یک لینک کلیک کند تا هکر بتواند امتیازات مدیر را برای وبسایت وردپرس به دست آورد.
در ادامه، درصدهای سوءاستفادهها بر اساس نقشهای لازم برای انجام حمله آورده شده است:
ترتیب صعودی نقشهای کاربر برای آسیبپذیریها:
- نویسنده: ۲.۱۹٪
- مشترک: ۱۰.۴٪
- احراز هویت نشده: ۱۲.۳۵٪
- همکار: ۱۹.۶۲٪
- CSRF ۲۴.۷۴٪
- مدیر: ۳۰.۷۱٪
رایجترین انواع آسیبپذیریها که نیاز به احراز هویت حداقلی دارند
کنترل دسترسی شکسته در زمینه وردپرس به معنای یک شکست امنیتی است که میتواند به یک مهاجم بدون داشتن اعتبارهای لازم اجازه دسترسی به مجوزهای بالاتر را بدهد.
در بخش گزارش که به بررسی رخدادها و آسیبپذیریهای زیرین آسیبپذیریهای احراز هویت نشده یا در سطح مشترک میپردازد (رخداد در مقابل آسیبپذیری در گزارشهای احراز هویت نشده یا مشترک+)، WPScan درصدهای مربوط به هر نوع آسیبپذیری که برای سوءاستفادههایی که راهاندازی آنها آسانتر است (زیرا نیاز به احراز هویت حداقلی یا هیچ اعتبار کاربری ندارند) را میشکند.
گزارش تهدید WPScan اشاره کرد که کنترل دسترسی شکسته ۸۴.۹۹٪ را تشکیل میدهد، به دنبال آن تزریق SQL با ۲۰.۶۴٪.
پروژه باز جهانی امنیت برنامههای کاربردی (OWASP) کنترل دسترسی شکسته را اینگونه تعریف میکند:
” کنترل دسترسی که گاهی اوقات به آن مجوز گفته میشود، روشی است که یک برنامه کاربردی وب برای اعطای دسترسی به محتوا و عملکردها به برخی کاربران و نه دیگران استفاده میکند. این بررسیها پس از احراز هویت انجام میشود و تعیین میکند که کاربران ‘مجاز’ چه کاری میتوانند انجام دهند.
کنترل دسترسی به نظر یک مشکل ساده میآید، اما اجرای صحیح آن بسیار دشوار است. مدل کنترل دسترسی یک برنامه کاربردی وب به شدت با محتوایی که سایت ارائه میدهد و عملکردهای آن مرتبط است. علاوه بر این، کاربران ممکن است به تعدادی از گروهها یا نقشها با تواناییها یا امتیازات مختلف تقسیم شوند.”
تزریق SQL با ۲۰.۶۴٪ دومین نوع رایج آسیبپذیری است که WPScan آن را هم “شدید و با ریسک بالا” توصیف کرده است در زمینه آسیبپذیریهایی که نیاز به سطوح احراز هویت حداقلی دارند، زیرا مهاجمان میتوانند به بانک اطلاعاتی که قلب هر وبسایت وردپرس است، دسترسی پیدا کنند و/یا آن را تغییر دهند.
در اینجا درصدها آمده است:
- کنترل دسترسی شکسته: ۸۴.۹۹٪
- تزریق SQL: ۲۰.۶۴٪
- اسکریپتنویسی بین سایتی: ۹.۴٪
- بارگذاری فایل دلخواه بدون احراز هویت: ۵.۲۸٪
- افشای دادههای حساس: ۴.۵۹٪
- مرجع شیء مستقیم ناامن (IDOR): ۳.۶۷٪
- اجرای کد از راه دور: ۲.۵۲٪
- دیگر: ۱۴.۴۵٪
آسیبپذیریها در خود هسته وردپرس
بیشتر مشکلات آسیبپذیری گزارش شده در افزونهها و قالبهای شخص ثالث بود. با این حال، در سال ۲۰۲۳، مجموعاً ۱۳ آسیبپذیری در خود هسته وردپرس گزارش شد. از بین این سیزده آسیبپذیری، تنها یکی از آنها به عنوان تهدید با شدت بالا رتبهبندی شد که دومین سطح بالای تهدید آسیبپذیری است و سطح بحرانی بالاترین سطح تهدید آسیبپذیری است که توسط سیستم نمرهدهی آسیبپذیری مشترک (CVSS) نگهداری میشود.
پلتفرم هسته وردپرس خود به بالاترین استانداردها پایبند است و از یک جامعه جهانی بهره میبرد که در کشف و اصلاح آسیبپذیریها بسیار مراقب است.
امنیت وبسایت باید به عنوان سئو فنی در نظر گرفته شود
آزمایشهای سایت معمولاً امنیت وبسایت را پوشش نمیدهند، اما به نظر من، هر آزمایش مسئولانهای باید حداقل درباره سرصفحههای امنیتی صحبت کند. همانطور که سالهاست میگویم، امنیت وبسایت به سرعت به یک مسئله سئو تبدیل میشود وقتی رتبهبندی یک وبسایت به دلیل بهرهبرداری از آسیبپذیریها از صفحات نتایج موتورهای جستجو (SERPs) ناپدید میشود. به همین دلیل است که فعال بودن در مورد امنیت وبسایت بسیار مهم است.
طبق گزارش WPScan، نقطه ورود اصلی برای وبسایتهای هک شده، اعتبارهای نشت کرده و گذرواژههای ضعیف بود. اطمینان از استانداردهای قوی گذرواژه به علاوه احراز هویت دو مرحلهای بخشی مهم از موضع امنیتی هر وبسایت است.
استفاده از سرصفحههای امنیتی راه دیگری برای کمک به محافظت در برابر اسکریپتنویسی بین سایتی و سایر انواع آسیبپذیریها است.
در نهایت، فایروال وردپرس و سخت کردن وبسایت نیز رویکردهای پیشگیرانه مفیدی برای امنیت وبسایت هستند. من یک بار یک انجمن را به یک وبسایت جدید اضافه کردم که بلافاصله در عرض چند دقیقه تحت حمله قرار گرفت. باور کنید یا نه، تقریباً هر وبسایت در سراسر جهان ۲۴ ساعت شبانهروز توسط رباتها برای پیدا کردن آسیبپذیریها مورد حمله قرار میگیرد.
منبع: https://www.searchenginejournal.com/2024-wordpress-security-report/514261/