El nuevo informe vulnerabilidad2024 WordPress Trends by WPScan saca a la luz tendencias importantes que los webmasters (y SEO) de WordPress deben tener en cuenta para mantenerse a la vanguardia seguridad de sus sitios web.
El informe enfatiza que, si bien las tasas de vulnerabilidades críticas son bajas (sólo el 2,38%), los hallazgos no deberían tranquilizar a los propietarios de sitios web. Casi el 20% de las vulnerabilidades reportadas se clasifican como de nivel de amenaza alto o crítico, mientras que las vulnerabilidades de gravedad media constituyen la mayoría (67,12%). Es importante darse cuenta de que las vulnerabilidades moderadas no deben ignorarse, ya que pueden ser explotadas por personas astutas.
El informe no critica a los usuarios por malware ni vulnerabilidades. Sin embargo, señala que algunos errores de los webmasters pueden facilitar que los piratas informáticos aprovechen las vulnerabilidades.
Un hallazgo importante es que el 22% de las vulnerabilidades reportadas ni siquiera requieren credenciales de usuario o solo requieren credenciales de suscriptor, lo que las hace particularmente peligrosas. Por otro lado, las vulnerabilidades que requieren derechos de administrador para explotar representan el 30,71% de las vulnerabilidades reportadas.
El informe también destaca los peligros de las contraseñas robadas y los complementos anulados. Las contraseñas débiles pueden descifrarse con ataques de fuerza bruta, mientras que los complementos anulados, que son esencialmente copias ilegales de complementos sin control de suscripción, a menudo contienen brechas de seguridad (puertas traseras) que permiten la instalación de malware.
También es importante tener en cuenta que los ataques de falsificación de solicitudes entre sitios (CSRF) representan el 24,74% de las vulnerabilidades que requieren privilegios administrativos. Los ataques CSRF utilizan técnicas de ingeniería social para engañar a los administradores para que hagan clic en un enlace malicioso, dando a los atacantes acceso de administrador.
Según el informe de WPScan, el tipo de vulnerabilidad más común que requiere poca o ninguna autenticación del usuario es el control de acceso roto (84,99%). Este tipo de vulnerabilidad permite a un atacante obtener acceso a privilegios de nivel superior al que normalmente tiene. Otro tipo común de vulnerabilidad es el hackeo de SQL (20,64%), que puede permitir a los atacantes acceder o manipular la base de datos de WordPress.
