2024-07-09 11:52:38 漏洞 报告 wordpress 网站
上一篇: 员工行为 如何防止员工浏览无关网站|禁止员工浏览非法网站的方法
下一篇: 传输威胁 域名安全证书(SSL证书)服务
来源:SEO_SEM营销顾问大师
WordPress 安全扫描程序 WPScan 的 2024 年 WordPress 漏洞报告呼吁人们关注 WordPress 漏洞趋势,并建议网站发布者(和 SEO)应该注意的事项。
该报告的一些主要发现是,超过20%的漏洞被评为高级别或严重威胁,中等严重性威胁占报告漏洞的67%,占大多数。许多人认为中级漏洞是低级威胁,这是一个错误,因为它们不是低级的,应该被视为值得关注。
该报告不会将恶意软件和网站漏洞归咎于用户。但是,出版商所犯的错误可能会放大黑客利用漏洞的成功。
WPScan报告建议:
“虽然严重性并不能直接转化为被利用的风险,但对于网站所有者来说,这是一个重要的指导方针,可以就何时禁用或更新扩展程序做出明智的决定。”
WordPress漏洞严重性分布
临界级别的漏洞,最高级别的威胁,仅占漏洞的2.38%,这对WordPress发布者来说基本上是个好消息。然而,如前所述,当与高级威胁的百分比(17.68%)相结合时,漏洞的数量或相关漏洞上升到近20%。
以下是按严重等级划分的百分比:
关键 2.38%最低 12.83%最高 17.68%中等 67.12%
经过身份验证与未经身份验证
经过身份验证的漏洞是指攻击者需要首先获取用户凭据及其附带的权限级别才能利用特定漏洞的漏洞。需要订阅者级身份验证的漏洞利用是经过身份验证的漏洞中最容易利用的,而需要管理员级别访问权限的漏洞利用风险最小(尽管由于各种原因并不总是低风险)。
未经身份验证的攻击通常最容易被利用,因为任何人都可以发起攻击,而无需先获取用户凭据。
WPScan 漏洞报告发现,大约 22% 的报告漏洞需要订阅者级别或根本不需要身份验证,这是最容易被利用的漏洞。在可利用性规模的另一端是需要管理员权限级别的漏洞,占报告漏洞总数的 30.71%。
无效软件和弱密码
弱密码和无效插件是通过 Jetpack Scan 发现的恶意软件的两个常见原因。 nulled 软件是盗版插件,它们能够验证它们是否被阻止。这些插件往往有后门,可以感染恶意软件。弱密码可以通过暴力攻击来猜测。
WPScan 报告解释道:
“身份验证绕过攻击可能涉及多种技术,例如利用弱密码的弱点、猜测凭据、使用暴力攻击来猜测密码、使用网络钓鱼或借口等社会工程策略、使用权限升级技术(例如利用软件和硬件设备中的已知漏洞或尝试默认帐户登录。”
漏洞利用所需的权限级别
需要管理员级别凭据的漏洞占漏洞利用的比例最高,其次是跨站请求伪造 (CSRF),占漏洞的 24.74%。这很有趣,因为 CSRF 是一种使用社会工程让受害者点击从中获取用户权限级别的链接的攻击。这是WordPress发布者应该注意的错误,因为管理员级别的用户只需要点击一个链接,然后黑客就可以对WordPress网站具有管理员级别的权限。
以下是按发起攻击所需的角色排序的漏洞利用百分比。
漏洞的用户角色升序
作者 2.19%订阅者 10.4%未经身份验证 12.35%贡献者 19.62%CSRF 24.74%管理员 30.71%
需要最少身份验证的最常见漏洞类型
WordPress 上下文中的访问控制中断是指一种安全故障,它可能允许没有必要权限凭据的攻击者获得更高凭据权限的访问权限。
在报告的“未验证漏洞”或“订阅者级漏洞”(“发生率与”未经身份验证或订阅者+“报告的漏洞)的部分中,WPScan细分了最容易启动的漏洞中最常见的每种漏洞类型的百分比(因为它们需要最少或不需要用户凭据身份验证)。
WPScan 威胁报告指出,Broken Access Control 占比高达 84.99%,其次是 SQL 注入 (20.64%)。
开放全球应用程序安全项目 (OWASP) 将 Broken Access Control 定义为:
“访问控制,有时称为授权,是 Web 应用程序如何向某些用户而不是其他用户授予对内容和功能的访问权限。这些检查在身份验证后执行,并控制允许“授权”用户执行的操作。访问控制听起来像是一个简单的问题,但很难正确实现。Web 应用程序的访问控制模型与网站提供的内容和功能密切相关。此外,用户可能属于具有不同能力或特权的多个组或角色。
SQL注入占20.64%,是第二普遍的漏洞类型,WPScan在需要最低身份验证级别的漏洞的背景下将其称为“高严重性和风险”,因为攻击者可以访问和/或篡改数据库,这是每个WordPress网站的核心。
这些是百分比:
访问控制损坏 84.99%SQL注入 20.64%跨站点脚本 9.4%未经身份验证的任意文件上传 5.28%敏感数据泄露 4.59%不安全的直接对象引用 (IDOR) 3.67%远程代码执行 2.52%其他 14.45%
WordPress核心本身的漏洞
绝大多数漏洞问题都是在第三方插件和主题中报告的。然而,在 2023 年,WordPress 核心本身总共报告了 13 个漏洞。在 13 个漏洞中,只有一个被评为高严重性威胁,这是第二高级别,严重是最高级别的漏洞威胁,这是由通用漏洞评分系统 (CVSS) 维护的评级评分系统。
WordPress 核心平台本身遵循最高标准,并受益于在发现和修补漏洞方面保持警惕的全球社区。
网站安全应被视为技术性SEO
网站审计通常不包括网站安全,但在我看来,每个负责任的审计至少应该谈论安全标题。正如我多年来一直在说的那样,一旦网站的排名由于受到漏洞的影响而开始从搜索引擎结果页面 (SERP) 中消失,网站安全很快就会成为一个 SEO 问题。这就是为什么积极主动地关注网站安全至关重要的原因。
根据WPScan报告,被黑客入侵网站的主要入口点是泄露的凭据和弱密码。确保强大的密码标准和双因素身份验证是每个网站安全立场的重要组成部分。
使用安全标头是帮助防范跨站点脚本和其他类型的漏洞的另一种方法。
最后,WordPress 防火墙和网站强化也是网站安全的有用主动方法。我曾经在我创建的全新网站上添加了一个论坛,它在几分钟内立即受到攻击。信不信由你,全球几乎每个网站都受到机器人扫描漏洞的 24 小时攻击。
越来越多的企业网站选择进行SSL认证,这一趋势的出现有其必然性,主要原因包括:网络安全意识提升:随着网络安全威胁的增加,企业和用户都更加重视数据的安全性,SSL证书提供了一种标准的安全解决方案。搜索引擎优化:如前所述,谷歌等搜索引擎已经明确表示,使用HTTPS(即SSL加密)的网站会在搜索结果中获得更好的排名。浏览器安全提示:现代浏览器对未加密的网站会显示不
简介在日新月异的互联网世界中,网站安全已成为衡量用户信任度和企业责任的重要指标。域名验证SSL证书(DomainValidation,DV证书)作为最基本的加密证书类型,以其高效、便捷的特性,为网站开启了HTTPS加密之旅,为网站数据安全打下了坚实的基础。作为一种基础的网络安全认证工具,正逐渐成为保障在线交易和数据传输安全的重要一环。一、什么是DV证书?DV
在当今数字化浪潮下,电商行业蓬勃发展,成为推动经济增长的重要引擎。然而,电商领域的复杂性和日新月异的变化,使得从业者面临着前所未有的挑战。为了适应这一快速发展的行业,提升自身专业素养和技能水平,电商从业者们需要保持时刻学习的习惯与紧张感以跟上行业发展的脚步。今天,小编就给大家介绍电商运营人们必备的5大类资讯网站,希望能够对大家的电商事业有一些帮助!一、运营类
有很多朋友都经常遇到网站突然被入侵,网站打不开了,企业网站有很多数据和用户资料,遇到这种问题就比较着急,那么,网站入侵一般都有哪些症状呢?一、流量异常增加:如果你的网站的流量突然激增,而且不是由于正常的网站推广或广告投放带来的,那么很可能是黑客利用你的网站进行恶意活动。二、网站崩溃或无法访问:当你的网站频繁崩溃或用户无法访问时,黑客可能通过攻击服务器或改变网
网站服务器(WebsiteServer)是指在互联网数据中心中存放网站的服务器。网站服务器主要用于网站在互联网中的发布、应用,是网络应用的基础硬件设施。合理地设置网站服务器有利于SEO优化,因为服务器直接关系到网站的安全与速度。服务器返回的14种常见HTTP状态码当从客户端向服务器发送请求时,服务器将会返回状态码,状态码就是服务器的响应状态,通过它可以知道当
© 2024 LCJM.来此加密 .免费SSL证书
Let's Encrypt免费证书.Zerossl TLS证书.Buypass域名证书.Google网站SSL证书
slogan: 免费申请域名SSL证书;申请免费的通配符证书;免费的多域名证书申请