Laporan baru kerentananTren WordPress 2024 oleh WPScan menyoroti tren penting yang perlu diperhatikan oleh webmaster WordPress (dan SEO) untuk mempertahankannya keamanan dari situs web mereka.
Laporan tersebut menekankan bahwa meskipun tingkat kerentanan kritis rendah (hanya 2,38%), temuan ini tidak dapat meyakinkan pemilik situs web. Hampir 20% dari kerentanan yang dilaporkan dikategorikan sebagai ancaman tingkat tinggi atau kritis, sementara kerentanan dengan tingkat keparahan sedang merupakan mayoritas (67,12%). Penting untuk disadari bahwa kerentanan yang moderat tidak boleh diabaikan karena dapat dieksploitasi oleh orang yang cerdik.
Laporan tersebut tidak mengkritik pengguna atas malware dan kerentanannya. Namun, dia menunjukkan bahwa beberapa kesalahan yang dilakukan webmaster dapat memudahkan peretas untuk mengeksploitasi kerentanan.
Temuan penting adalah 22% dari kerentanan yang dilaporkan bahkan tidak memerlukan kredensial pengguna atau hanya memerlukan kredensial pelanggan, sehingga menjadikannya sangat berbahaya. Di sisi lain, kerentanan yang memerlukan hak administrator untuk mengeksploitasi mencapai 30,71% dari kerentanan yang dilaporkan.
Laporan ini juga menyoroti bahaya pencurian kata sandi dan plugin yang dibatalkan. Kata sandi yang lemah dapat diretas dengan serangan brute force, sedangkan plugin nulled, yang pada dasarnya merupakan salinan ilegal dari plugin tanpa kontrol berlangganan, sering kali mengandung celah keamanan (pintu belakang) yang memungkinkan pemasangan malware.
Penting juga untuk dicatat bahwa serangan Pemalsuan Permintaan Lintas Situs (CSRF) menyumbang 24,74% kerentanan yang memerlukan hak administratif. Serangan CSRF menggunakan teknik rekayasa sosial untuk mengelabui administrator agar mengklik tautan berbahaya, sehingga memberikan akses administrator kepada penyerang.
Menurut laporan WPScan, jenis kerentanan paling umum yang memerlukan sedikit atau tanpa otentikasi pengguna adalah Kontrol Akses Rusak (84,99%). Jenis kerentanan ini memungkinkan penyerang mendapatkan akses ke tingkat hak istimewa yang lebih tinggi dari biasanya. Jenis kerentanan umum lainnya adalah peretasan SQL (20,64%), yang memungkinkan penyerang mengakses atau merusak database WordPress.
