صفحه اصلی > سئو : گزارش آسیب‌پذیری وردپرس ۲۰۲۴ نشان‌دهنده اشتباهاتی است که سایت‌ها همچنان انجام می‌دهند

گزارش آسیب‌پذیری وردپرس ۲۰۲۴ نشان‌دهنده اشتباهاتی است که سایت‌ها همچنان انجام می‌دهند

گزارش آسیب‌پذیری وردپرس ۲۰۲۴ نشان‌دهنده اشتباهاتی است که سایت‌ها همچنان انجام می‌دهند

فهرست مطالب

گزارش امنیتی وردپرس ۲۰۲۴ که توسط WPScan، اسکنر امنیتی وردپرس، منتشر شده است، به روندهای آسیب‌پذیری در وردپرس توجه دارد و پیشنهاداتی را برای ناشران وب‌سایت (و کارشناسان سئو) ارائه می‌دهد تا به مواردی که باید مراقب آن‌ها باشند، توجه کنند.
یکی از نکات کلیدی گزارش این است که کمی بیش از ۲۰٪ از آسیب‌پذیری‌ها به عنوان تهدیدات سطح بالا یا بحرانی رتبه‌بندی شده‌اند و تهدیدات با شدت متوسط، با ۶۷٪ از آسیب‌پذیری‌های گزارش شده، اکثریت را تشکیل می‌دهند. بسیاری از ناشران، آسیب‌پذیری‌های سطح متوسط را به عنوان تهدیدات سطح پایین تلقی می‌کنند و برای بسیاری از آن‌ها این آسیب‌پذیری‌ها تهدیدی محسوب نمی‌شوند. با این حال، ناشران باید آسیب‌پذیری را بررسی کنند تا مطمئن شوند که نصب آن‌ها در معرض خطر نیست.
این گزارش کاربران را برای بدافزار و آسیب‌پذیری‌های وب‌سایت مقصر نمی‌داند، اما اشتباهاتی که توسط ناشران انجام می‌شود می‌تواند موفقیت هکرها در سوءاستفاده از آسیب‌پذیری‌ها را افزایش دهد.
گزارش WPScan توصیه می‌کند:
“در حالی که شدت تهدید مستقیماً به ریسک بهره‌برداری ترجمه نمی‌شود، این یک راهنمای مهم برای صاحبان وب‌سایت است تا تصمیمات آگاهانه‌ای درباره زمان غیرفعال کردن یا به‌روزرسانی افزونه بگیرند.”

توزیع شدت آسیب‌پذیری در وردپرس

آسیب‌پذیری‌های سطح بحرانی، که بالاترین سطح تهدید را نشان می‌دهند، تنها ۲.۳۸٪ از آسیب‌پذیری‌ها را تشکیل می‌دهند که این خبر خوبی برای ناشران وردپرس است. با این حال، همانطور که قبلاً ذکر شد، وقتی درصد تهدیدات سطح بالا (۱۷.۶۸٪) با هم ترکیب می‌شود، تعداد آسیب‌پذیری‌های نگران‌کننده به تقریباً ۲۰٪ می‌رسد.
در اینجا درصدهای مربوط به رتبه‌بندی شدت آمده است:

  • بحرانی: ۲.۳۸٪
  • پایین: ۱۲.۸۳٪
  • بالا: ۱۷.۶۸٪
  • متوسط: ۶۷.۱۲٪

توزیع شدت آسیب‌پذیری در وردپرس

احراز هویت شده در مقابل احراز هویت نشده

آسیب‌پذیری‌های احراز هویت شده آن‌هایی هستند که نیاز به دسترسی مهاجم به اعتبار کاربری و سطوح مجوز مربوطه برای بهره‌برداری از آسیب‌پذیری خاص دارند. سوءاستفاده‌هایی که نیاز به احراز هویت در سطح مشترک دارند، قابل بهره‌برداری‌ترین سوءاستفاده‌های احراز هویت شده هستند و آن‌هایی که نیاز به دسترسی در سطح مدیر دارند، کمترین ریسک را دارند (اگرچه به دلایل مختلف همیشه ریسک پایین ندارند).
حملات احراز هویت نشده به طور کلی آسان‌ترین حملات برای بهره‌برداری هستند زیرا هر کسی می‌تواند بدون نیاز به دسترسی به اعتبار کاربری حمله را آغاز کند.
گزارش آسیب‌پذیری WPScan نشان داد که حدود ۲۲٪ از آسیب‌پذیری‌های گزارش شده نیاز به سطح مشترک یا هیچ‌گونه احراز هویتی نداشتند، که این آسیب‌پذیری‌ها را به قابل بهره‌برداری‌ترین آسیب‌پذیری‌ها تبدیل می‌کند. در طرف دیگر مقیاس بهره‌برداری، آسیب‌پذیری‌هایی هستند که نیاز به سطح دسترسی مدیر دارند و مجموعاً ۳۰.۷۱٪ از آسیب‌پذیری‌های گزارش شده را تشکیل می‌دهند.

نرم‌افزارهای نال شده و گذرواژه‌های ضعیف

گذرواژه‌های ضعیف و افزونه‌های نال شده دو دلیل رایج برای بدافزار یافت شده از طریق Jetpack Scan بودند. نرم‌افزارهای نال شده افزونه‌های دزدی هستند که قابلیت بررسی پرداخت بودن آن‌ها مسدود شده است. این افزونه‌ها معمولاً دارای درب پشتی بودند که باعث می‌شد بتوان به وسیله آن‌ها با بدافزار آلوده شد. گذرواژه‌های ضعیف می‌توانند از طریق حملات جستجوی فراگیر حدس زده شوند.
گزارش WPScan توضیح می‌دهد:
“حملات دور زدن احراز هویت می‌تواند شامل مجموعه‌ای از تکنیک‌ها باشد مانند سوءاستفاده از ضعف‌های موجود در گذرواژه‌های ضعیف، حدس زدن اعتبار کاربری با استفاده از حملات جستجوی فراگیر برای حدس زدن گذرواژه‌ها، استفاده از روش‌های مهندسی اجتماعی مانند فیشینگ یا جعل هویت، استفاده از تکنیک‌های افزایش امتیاز مانند سوءاستفاده از آسیب‌پذیری‌های شناخته شده در نرم‌افزارها و دستگاه‌های سخت‌افزاری یا تلاش برای ورود پیش‌فرض به حساب‌ها.”

سطوح مجوز مورد نیاز برای سوءاستفاده‌ها

آسیب‌پذیری‌هایی که نیاز به اعتبار مدیر دارند بیشترین درصد سوءاستفاده‌ها را نشان می‌دهند، به دنبال آن جعل درخواست بین سایتی (CSRF) با ۲۴.۷۴٪ از آسیب‌پذیری‌ها. این نکته جالب است زیرا CSRF حمله‌ای است که از مهندسی اجتماعی برای کلیک کردن قربانی بر روی یک لینک استفاده می‌کند که از طریق آن سطوح مجوز کاربر به دست می‌آید. این اشتباهی است که ناشران وردپرس باید از آن آگاه باشند زیرا کافی است یک کاربر سطح مدیر بر روی یک لینک کلیک کند تا هکر بتواند امتیازات مدیر را برای وب‌سایت وردپرس به دست آورد.
در ادامه، درصدهای سوءاستفاده‌ها بر اساس نقش‌های لازم برای انجام حمله آورده شده است:
ترتیب صعودی نقش‌های کاربر برای آسیب‌پذیری‌ها:

  • نویسنده: ۲.۱۹٪
  • مشترک: ۱۰.۴٪
  • احراز هویت نشده: ۱۲.۳۵٪
  • همکار: ۱۹.۶۲٪
  • CSRF ۲۴.۷۴٪
  • مدیر: ۳۰.۷۱٪

رایج‌ترین انواع آسیب‌پذیری‌ها که نیاز به احراز هویت حداقلی دارند

کنترل دسترسی شکسته در زمینه وردپرس به معنای یک شکست امنیتی است که می‌تواند به یک مهاجم بدون داشتن اعتبارهای لازم اجازه دسترسی به مجوزهای بالاتر را بدهد.
در بخش گزارش که به بررسی رخدادها و آسیب‌پذیری‌های زیرین آسیب‌پذیری‌های احراز هویت نشده یا در سطح مشترک می‌پردازد (رخداد در مقابل آسیب‌پذیری در گزارش‌های احراز هویت نشده یا مشترک+)، WPScan درصدهای مربوط به هر نوع آسیب‌پذیری که برای سوءاستفاده‌هایی که راه‌اندازی آن‌ها آسان‌تر است (زیرا نیاز به احراز هویت حداقلی یا هیچ اعتبار کاربری ندارند) را می‌شکند.
گزارش تهدید WPScan اشاره کرد که کنترل دسترسی شکسته ۸۴.۹۹٪ را تشکیل می‌دهد، به دنبال آن تزریق SQL با ۲۰.۶۴٪.
پروژه باز جهانی امنیت برنامه‌های کاربردی (OWASP) کنترل دسترسی شکسته را اینگونه تعریف می‌کند:
” کنترل دسترسی که گاهی اوقات به آن مجوز گفته می‌شود، روشی است که یک برنامه کاربردی وب برای اعطای دسترسی به محتوا و عملکردها به برخی کاربران و نه دیگران استفاده می‌کند. این بررسی‌ها پس از احراز هویت انجام می‌شود و تعیین می‌کند که کاربران ‘مجاز’ چه کاری می‌توانند انجام دهند.
کنترل دسترسی به نظر یک مشکل ساده می‌آید، اما اجرای صحیح آن بسیار دشوار است. مدل کنترل دسترسی یک برنامه کاربردی وب به شدت با محتوایی که سایت ارائه می‌دهد و عملکردهای آن مرتبط است. علاوه بر این، کاربران ممکن است به تعدادی از گروه‌ها یا نقش‌ها با توانایی‌ها یا امتیازات مختلف تقسیم شوند.”
تزریق SQL با ۲۰.۶۴٪ دومین نوع رایج آسیب‌پذیری است که WPScan آن را هم “شدید و با ریسک بالا” توصیف کرده است در زمینه آسیب‌پذیری‌هایی که نیاز به سطوح احراز هویت حداقلی دارند، زیرا مهاجمان می‌توانند به بانک اطلاعاتی که قلب هر وب‌سایت وردپرس است، دسترسی پیدا کنند و/یا آن را تغییر دهند.
در اینجا درصدها آمده است:

  1. کنترل دسترسی شکسته: ۸۴.۹۹٪
  2. تزریق SQL: ۲۰.۶۴٪
  3. اسکریپت‌نویسی بین سایتی: ۹.۴٪
  4. بارگذاری فایل دلخواه بدون احراز هویت: ۵.۲۸٪
  5.  افشای داده‌های حساس: ۴.۵۹٪
  6. مرجع شیء مستقیم ناامن (IDOR): ۳.۶۷٪
  7. اجرای کد از راه دور: ۲.۵۲٪
  8. دیگر: ۱۴.۴۵٪

آسیب‌پذیری‌ها در خود هسته وردپرس

بیشتر مشکلات آسیب‌پذیری گزارش شده در افزونه‌ها و قالب‌های شخص ثالث بود. با این حال، در سال ۲۰۲۳، مجموعاً ۱۳ آسیب‌پذیری در خود هسته وردپرس گزارش شد. از بین این سیزده آسیب‌پذیری، تنها یکی از آن‌ها به عنوان تهدید با شدت بالا رتبه‌بندی شد که دومین سطح بالای تهدید آسیب‌پذیری است و سطح بحرانی بالاترین سطح تهدید آسیب‌پذیری است که توسط سیستم نمره‌دهی آسیب‌پذیری مشترک (CVSS) نگهداری می‌شود.
پلتفرم هسته وردپرس خود به بالاترین استانداردها پایبند است و از یک جامعه جهانی بهره می‌برد که در کشف و اصلاح آسیب‌پذیری‌ها بسیار مراقب است.

امنیت وب‌سایت باید به عنوان سئو فنی در نظر گرفته شود

آزمایش‌های سایت معمولاً امنیت وب‌سایت را پوشش نمی‌دهند، اما به نظر من، هر آزمایش مسئولانه‌ای باید حداقل درباره سرصفحه‌های امنیتی صحبت کند. همانطور که سال‌هاست می‌گویم، امنیت وب‌سایت به سرعت به یک مسئله سئو تبدیل می‌شود وقتی رتبه‌بندی یک وب‌سایت به دلیل بهره‌برداری از آسیب‌پذیری‌ها از صفحات نتایج موتورهای جستجو (SERPs) ناپدید می‌شود. به همین دلیل است که فعال بودن در مورد امنیت وب‌سایت بسیار مهم است.
طبق گزارش WPScan، نقطه ورود اصلی برای وب‌سایت‌های هک شده، اعتبارهای نشت کرده و گذرواژه‌های ضعیف بود. اطمینان از استانداردهای قوی گذرواژه به علاوه احراز هویت دو مرحله‌ای بخشی مهم از موضع امنیتی هر وب‌سایت است.
استفاده از سرصفحه‌های امنیتی راه دیگری برای کمک به محافظت در برابر اسکریپت‌نویسی بین سایتی و سایر انواع آسیب‌پذیری‌ها است.
در نهایت، فایروال وردپرس و سخت کردن وب‌سایت نیز رویکردهای پیشگیرانه مفیدی برای امنیت وب‌سایت هستند. من یک بار یک انجمن را به یک وب‌سایت جدید اضافه کردم که بلافاصله در عرض چند دقیقه تحت حمله قرار گرفت. باور کنید یا نه، تقریباً هر وب‌سایت در سراسر جهان ۲۴ ساعت شبانه‌روز توسط ربات‌ها برای پیدا کردن آسیب‌پذیری‌ها مورد حمله قرار می‌گیرد.

منبع: https://www.searchenginejournal.com/2024-wordpress-security-report/514261/

پست های مرتبط

نکته‌ای از یکی از کارکنان گوگل درباره Favicons که می‌تواند تأثیر بزرگی داشته باشد

  جان مولر (John Mueller) از گوگل یک نکته برای بهینه‌سازی فاوآیکون‌ها…

۱۹ مهر ۱۴۰۳

تکمیل انتشار به‌روزرسانی اصلی گوگل در آگوست

گوگل تأیید کرده است که به‌روزرسانی اصلی آگوست تکمیل شده و این…

۱۹ مهر ۱۴۰۳

لغو بی‌سروصدای اشتراک‌های Google Trends

گوگل در تعطیلات آخر هفته ایالات متحده، با ارسال ایمیلی به کاربران…

۱۹ مهر ۱۴۰۳

دیدگاهتان را بنویسید