O relatório de vulnerabilidade do WordPress de 2024 do scanner de segurança WordPress WPScan chama a atenção para as tendências de vulnerabilidade do WordPress e sugere os tipos de coisas que os editores de sites (e SEOs) devem estar atentos.
Algumas das principais conclusões do relatório foram que pouco mais de 20% das vulnerabilidades foram classificadas como ameaças de nível alto ou crítico, com ameaças de gravidade média, representando 67% das vulnerabilidades relatadas, constituindo a maioria. Muitos consideram as vulnerabilidades de nível médio como se fossem ameaças de baixo nível, mas não o são e devem ser consideradas como merecedoras de atenção.
O relatório WPScan aconselhou:
“Embora a gravidade não se traduza diretamente no risco de exploração, é uma diretriz importante para os proprietários de sites tomarem uma decisão informada sobre quando desativar ou atualizar a extensão.”
Distribuição de gravidade de vulnerabilidade do WordPress
Vulnerabilidades de nível crítico, o nível mais alto de ameaça, representaram apenas 2,38% das vulnerabilidades, o que é (essencialmente uma boa notícia para os editores do WordPress. No entanto, como mencionado anteriormente, quando combinado com as porcentagens de ameaças de alto nível (17,68%) o número ou vulnerabilidades preocupantes sobe para quase 20%.
Aqui estão as porcentagens por classificações de gravidade:
- Crítico 2,38%
- Baixo 12,83%
- Alta 17,68%
- Médio 67,12%
Autenticado versus não autenticado
Vulnerabilidades autenticadas são aquelas que exigem que um invasor obtenha primeiro as credenciais do usuário e os níveis de permissão que as acompanham para explorar uma vulnerabilidade específica. As explorações que exigem autenticação no nível do assinante são as mais exploráveis das explorações autenticadas e aquelas que exigem acesso no nível do administrador apresentam o menor risco (embora nem sempre sejam de baixo risco por vários motivos).
Os ataques não autenticados são geralmente os mais fáceis de explorar porque qualquer pessoa pode lançar um ataque sem precisar primeiro adquirir uma credencial de usuário.
O relatório de vulnerabilidade WPScan descobriu que cerca de 22% das vulnerabilidades relatadas exigiam nível de assinante ou nenhuma autenticação, representando as vulnerabilidades mais exploráveis. No outro extremo da escala de exploração estão as vulnerabilidades que exigem níveis de permissão de administrador, representando um total de 30,71% das vulnerabilidades relatadas.
Níveis de permissão necessários para explorações
Vulnerabilidades que exigem credenciais de nível de administrador representaram a maior porcentagem de explorações, seguidas por Cross Site Request Forgery (CSRF) com 24,74% de vulnerabilidades. Isto é interessante porque o CSRF é um ataque que utiliza engenharia social para fazer com que a vítima clique em um link a partir do qual os níveis de permissão do usuário são adquiridos. Se eles conseguirem enganar um usuário de nível administrativo para seguir um link, eles poderão assumir esse nível de privilégios para o site WordPress.
A seguir estão as porcentagens de explorações ordenadas por funções necessárias para lançar um ataque.
Ordem crescente de funções de usuário para vulnerabilidades
- Autor 2,19%
- Assinante 10,4%
- Não autenticado 12,35%
- Contribuinte 19,62%
- CSRF 24,74%
- Administrador 30,71%
Tipos de vulnerabilidade mais comuns que exigem autenticação mínima
Controle de acesso quebrado no contexto do WordPress refere-se a uma falha de segurança que pode permitir que um invasor sem as credenciais de permissão necessárias obtenha acesso a permissões de credenciais mais altas.
Na seção do relatório que analisa as ocorrências e vulnerabilidades subjacentes às vulnerabilidades não autenticadas ou em nível de assinante relatadas (relatórios de ocorrência versus vulnerabilidade em relatórios não autenticados ou de assinante+), o WPScan detalha as porcentagens para cada tipo de vulnerabilidade que é mais comum para explorações que são as mais fáceis para iniciar (porque eles exigem autenticação mínima ou nenhuma autenticação de credencial do usuário).
O relatório de ameaças WPScan observou que o controle de acesso quebrado representa impressionantes 84,99%, seguido pela injeção de SQL (20,64%).
O Open Worldwide Application Security Project (OWASP) define Controle de Acesso Quebrado como:
“O controle de acesso, às vezes chamado de autorização, é como uma aplicação web concede acesso a conteúdo e funções a alguns usuários e não a outros. Essas verificações são realizadas após a autenticação e controlam o que os usuários “autorizados” podem fazer.
O controle de acesso parece um problema simples, mas é insidiosamente difícil de implementar corretamente. O modelo de controle de acesso de uma aplicação web está intimamente ligado ao conteúdo e às funções que o site oferece. Além disso, os usuários podem pertencer a vários grupos ou funções com diferentes habilidades ou privilégios.”
A injeção de SQL, com 20,64%, representa o segundo tipo de vulnerabilidade mais prevalente, que o WPScan chamou de “alta gravidade e risco” no contexto de vulnerabilidades que exigem níveis mínimos de autenticação porque os invasores podem acessar e/ou adulterar o banco de dados que é o coração de cada site WordPress.
Estas são as porcentagens:
- Controle de acesso quebrado 84,99%
- Injeção SQL 20,64%
- Scripting entre sites 9,4%
- Upload de arquivo arbitrário não autenticado 5,28%
- Divulgação de dados confidenciais 4,59%
- Referência direta de objeto inseguro (IDOR) 3,67%
- Execução Remota de Código 2,52%
- Outros 14,45%
Vulnerabilidades no próprio núcleo do WordPress
A esmagadora maioria dos problemas de vulnerabilidade foram relatados em plugins e temas de terceiros. No entanto, houve em 2023 um total de 13 vulnerabilidades relatadas no próprio núcleo do WordPress. Das treze vulnerabilidades, apenas uma delas foi classificada como uma ameaça de alta gravidade, que é o segundo nível mais alto, sendo Crítica a ameaça de vulnerabilidade de nível mais alto, um sistema de pontuação de classificação mantido pelo Common Vulnerability Scoring System (CVSS).
A própria plataforma central do WordPress segue os mais altos padrões e se beneficia de uma comunidade mundial que está vigilante na descoberta e correção de vulnerabilidades.
A segurança do site deve ser considerada como SEO técnico
As auditorias de sites normalmente não cobrem a segurança de sites, mas na minha opinião toda auditoria responsável deveria pelo menos falar sobre cabeçalhos de segurança. Como venho dizendo há anos, a segurança do site rapidamente se torna um problema de SEO quando a classificação de um site começa a desaparecer das páginas de resultados do mecanismo de pesquisa (SERPs) devido a ser comprometida por uma vulnerabilidade. É por isso que é fundamental ser proativo em relação à segurança do site.
De acordo com o relatório WPScan, o principal ponto de entrada para sites hackeados foram credenciais vazadas e senhas fracas. Garantir padrões de senha fortes e autenticação de dois fatores é uma parte importante da postura de segurança de cada site.
Usar cabeçalhos de segurança é outra maneira de ajudar a proteger contra Cross-Site Scripting e outros tipos de vulnerabilidades.
Por último, um firewall WordPress e proteção de sites também são abordagens proativas úteis para a segurança de sites. Certa vez, adicionei um fórum a um novo site que criei e ele foi imediatamente atacado em poucos minutos. Acredite ou não, praticamente todos os sites do mundo estão sob ataque 24 horas por dia por bots que procuram vulnerabilidades.
Leia o relatório WPScan:
Relatório de ameaças ao site WPScan 2024
Imagem em destaque por Shutterstock/Ljupco Smokovski
