Ландшафт угроз безопасности WordPress в 2024 году: основные тенденции и статистика

WPScan недавно опубликовал обзор уязвимостей и угроз 2023 года для сайтов WordPress. Имея эту информацию, как владельцы сайтов, так и профессионалы WordPress смогут ориентироваться в 2024 году более безопасно.

WPScan, возглавляемый преданными экспертами по безопасности, поддерживает ведущую базу данных угроз экосистеме WordPress. WPScan, используемый ведущими профессионалами отрасли, считается наиболее полным доступным ресурсом. На сегодняшний день WPScan и его участники выявили, проверили и классифицировали более 49 000 уязвимостей.

База данных используется такими корпоративными организациями, как Mercedes-Benz Group, WP Engine, Accenture и Kinsta. Он также поддерживает известные инструменты безопасности WordPress, такие как Jetpack Scan, который доступен через Jetpack Protect или в рамках плана Jetpack Security.

Почему существует этот отчет? Откуда берутся данные?

Команда WPScan занимается выявлением, проверкой и индексированием угроз для экосистемы WordPress, чтобы инструменты безопасности WordPress (например, Jetpack Security) могли эффективно защищать от них и защищать сообщество.

Выявление и понимание угроз — это первые шаги в обеспечении кибербезопасности.

Данные в этом отчете были собраны на основе уязвимостей, обнаруженных WPScan и проверенных исследователями безопасности, а также выборки из более чем 350 000 веб-сайтов и сервисов Automattic, использующих Jetpack Scan или Jetpack Protect.

Что мы узнали?

Нет времени читать полный отчет? Не волнуйся. Мы подготовили для вас краткое изложение ключевых моментов.

XSS привлекает много внимания, но SQL-инъекции являются более распространенной угрозой.

Межсайтовому скриптингу уделяется много внимания. Об этом часто сообщают охотники за ошибками и исследователи безопасности (53% всех обнаруженных уязвимостей).

Но наиболее распространенным типом угроз, как показывают фактические попытки блокировки брандмауэром Jetpack, на самом деле являются SQL-инъекции. Угроза SQL-инъекции, как правило, особенно серьезна, поскольку для использования такого рода уязвимостей практически не требуется аутентификация.

Когда речь идет о безопасности WordPress, наиболее распространены две угрозы.

Отчет подтвердил то, что мы уже знаем: слабые учетные данные пользователя и обнуленные плагины являются шлюзом для большинства атак.

Это означает, что администраторы сайта могут предотвратить большинство проблем безопасности, поддерживая актуальность программного обеспечения и требуя строгой аутентификации.

Более 20% уязвимостей не требовали аутентификации.

Команда WPScan проверяет уязвимости, чтобы определить уровень аутентификации, необходимый для использования уязвимого кода. Хотя около трети всех уязвимостей потребует доступа к учетной записи администратора (что снижает риск эксплуатации), 22% обнаруженных уязвимостей не требуют абсолютно никакой аутентификации или требуют только учетной записи на уровне подписчика.

Вредоносные атаки по-прежнему распространены

Сканирование Jetpack (которое использует базу данных WPScan) выявило 70 000 сайтов, содержащих как минимум один вредоносный файл. Большинство причин можно отнести либо к (как вы уже догадались!) утечке/слабых учетных данных, либо к обнуленному программному обеспечению.

75% (600 000 вредоносных файлов) были признаны обычными вредоносными программами.

Существующие инструменты работают

Брандмауэр Jetpack заблокировал более семи миллионов запросов, связанных с уязвимостью высокой степени серьезности, предотвращая бесчисленные XSS-атаки на находящиеся под угрозой исчезновения сайты.

В докладе говорится,

Брандмауэр Jetpack, хотя и является недавним дополнением к пакету Jetpack Security , доказывает свою ценность, блокируя потенциальные атаки на ранних этапах цикла, не позволяя злоумышленникам закрепиться на защищенных сайтах.

Брандмауэр Jetpack также заблокировал более полумиллиона атак SQL-инъекций и Path Traversal.

Что дальше следует делать профессионалам в области кибербезопасности и WordPress?

Вы не сможете предотвратить атаки, если не знаете, на что обращать внимание. WPScan предоставляет самую надежную и актуальную библиотеку проверенных угроз. Разработчики и специалисты по кибербезопасности могут включить его в свои собственные программы через API, чтобы усилить свою защиту.

Группы веб-безопасности также могут использовать сканер CLI WPScan в рамках тестирования на проникновение. Он обеспечивает внешний взгляд на информацию, которую хакеры могут просмотреть о вашем сайте без аутентификации.

Разработчикам и корпоративным организациям следует немедленно обратиться к WPScan, чтобы узнать, является ли это лучшим инструментом для их работы.

Что дальше делать владельцам сайтов WordPress?

Оценка экосистемы безопасности WordPress, проведенная WPScan, показывает, что угрозы сохраняются. Хорошей новостью является то, что наиболее распространенным из них можно довольно легко помешать. Владельцы сайтов WordPress могут использовать базу данных WPScan через Jetpack Protect и получить доступ к полному набору инструментов предотвращения и восстановления с помощью Jetpack Security.

Принудительно использовать строгую аутентификацию

Слабые пароли — это не только самая распространенная слабость кибербезопасности, но и одна из самых простых в устранении. Вы можете требовать от пользователей надежных паролей и обучать свою команду передовым методам использования паролей, таким как использование сочетания цифр, букв и специальных символов, наличие уникальных учетных данных для каждого сайта и регулярное обновление паролей.

Вы также можете потребовать двухфакторную аутентификацию, особенно для учетных записей уровня администратора.

Назначайте правильные роли пользователей и следуйте принципу минимальных привилегий.

Роли пользователей WordPress являются мощным инструментом, поскольку они позволяют вам предоставлять доступ к определенным функциям в зависимости от области ответственности человека. Ограничение количества назначаемых ролей высокого уровня уменьшает количество точек доступа и позволяет повысить уровень информированности и ответственности в отношении паролей и безопасной аутентификации.

Известный как принцип наименьших привилегий, пользователи должны иметь доступ только к самой низкой роли, необходимой для выполнения необходимых им рабочих функций.

Поддерживайте актуальность ядра, тем и плагинов.

Наряду со слабыми паролями, устаревшее программное обеспечение является наиболее распространенной причиной успешных атак. На вашем сайте должна использоваться самая последняя версия ядра WordPress, вашей темы и всех установленных плагинов.

По мере обнаружения уязвимостей авторитетные разработчики плагинов будут выпускать обновления для их исправления. Игнорирование этих обновлений оставляет ваш сайт незащищенным.

Установите плагин безопасности WordPress

Для наиболее полной защиты владельцам сайтов необходимо пойти дальше, чем просто использовать надежные пароли, обновлять программное обеспечение и правильно назначать роли пользователей. Ветераны WordPress знают, что правильный плагин безопасности WordPress поможет предотвратить вторжения и предоставит варианты восстановления в случае, если кто-то прорвется.

Если вам нужна комплексная защита с минимальными сложностями, Jetpack Security — это то, что вам нужно. Вот лишь часть того, что включено:

• Мониторинг простоев . В ту же секунду знайте, что с вашим сайтом возникла проблема, и вы сможете немедленно принять меры.

• Брандмауэр веб-сайта . В отчете WPScan неоднократно упоминались атаки, предотвращенные брандмауэром Jetpack. Получите доступ к нему с помощью Jetpack Security.

• Сканирование вредоносных программ в режиме реального времени и исправление одним щелчком мыши . Получите доступ к полной базе данных WPScan и постоянно сканируйте свой сайт на наличие вредоносных программ и уязвимостей. Более того, вы также получите решения большинства проблем в один клик.

Вам не нужен плагин полной безопасности, но вам нужен доступ к базе данных WPScan для поиска уязвимостей и вредоносных программ? Эти функции также доступны в отдельном плагине Jetpack Protect .

• Резервные копии в реальном времени . Помните, что вам также нужен метод восстановления на случай, если злоумышленник сможет пройти через него. Jetpack VaultPress Backup сохраняет все на вашем сайте и регистрирует все действия. Выполните восстановление до точного момента времени и просмотрите журнал, чтобы устранить неполадки и предотвратить проблемы в будущем. Вы можете получить доступ к резервным копиям и восстановить их, даже если ваш сайт полностью не работает, со своего мобильного устройства.

• Защита от спама . Нежелательные, нерелевантные комментарии и отправки форм более чем раздражают — они опасны для вас и ваших посетителей. Jetpack Security поставляется с функцией защиты от спама Akismet, поэтому вы можете предотвратить 99% спама, не заставляя посетителей выполнять отягчающую проверку CAPTCHA.

• Защита от грубой силы . Атаки грубой силы — довольно распространенная угроза WordPress. Их также можно легко остановить с помощью Jetpack Security.

Jetpack и WPScan: совместная работа для более безопасного WordPress

Команда WPScan неустанно работает над поддержанием самой точной базы данных уязвимостей WordPress. Профессионалы WordPress и корпоративные организации могут интегрироваться с инструментами WPScan для обеспечения наиболее совершенной защиты.

Владельцы сайтов WordPress получают доступ к этой же информации через Jetpack Security, а также через другие инструменты безопасности. Этот плагин безопасности просто начинает работать с минимальными хлопотами и постоянными усилиями. Ваш сайт просто защищен .

Узнайте больше о безопасности Jetpack.

Узнайте больше о WPScan.