Более 67% всех зарегистрированных уязвимостей WordPress были среднего уровня. Это факты, которые вам нужно знать.
Большинство уязвимостей WordPress, около 67% из них были обнаружены в 2023 году, относятся к среднему уровню. Поскольку они наиболее распространены, имеет смысл понять, что они из себя представляют и когда представляют реальную угрозу безопасности. Вот факты о тех видах уязвимостей, которые вам следует о них знать.
Что такое уязвимость среднего уровня?
Представитель WPScan, компании по сканированию безопасности WordPress, принадлежащей Automattic, объяснил, что они используют общую систему оценки уязвимостей (CVSS Scores) для оценки серьезности угрозы. Оценки основаны на системе нумерации от 1 до 1. 10 и рейтинги: низкий, средний, высокий и критический.
Представитель WPScan пояснил:
“Мы отмечаем не уровни как вероятность возникновения, а серьезность уязвимости, основанную на платформе FIRST CVSS. В широком смысле средний уровень серьезности означает, что либо уязвимость трудно использовать (например, SQL-инъекция, для которой требуется учетная запись с высокими привилегиями), либо злоумышленник не получает многого от успешной атаки (например, неаутентифицированный пользователь может получить содержимое частных сообщений в блоге).
<п>Обычно мы не видим, чтобы они использовались так часто в крупномасштабных атаках, потому что они менее полезны, чем уязвимости более серьезной важности, и их сложнее автоматизировать. Однако они могут быть полезны при более целенаправленных атаках, например, когда учетная запись привилегированного пользователя уже скомпрометирована или злоумышленник знает, что некоторый личный контент содержит конфиденциальную информацию, полезную для него.
Мы всегда рекомендуем обновить уязвимые расширения как можно скорее. Тем не менее, если уровень серьезности средний, то нет необходимости делать это срочно, поскольку сайт с меньшей вероятностью станет жертвой крупномасштабной автоматической атаки.
<п>Неподготовленному пользователю отчет может показаться трудным для восприятия. Мы сделали все возможное, чтобы сделать его максимально подходящим для любой аудитории, но я понимаю, что невозможно охватить всех, не сделав его слишком скучным или длинным. То же самое может произойти и с заявленной уязвимостью. Пользователю, потребляющему канал, потребуются некоторые базовые знания о настройке своего веб-сайта, чтобы понять, какая уязвимость требует немедленного внимания, а какую можно устранить, например, с помощью WAF.
Если пользователь знает, например, что его сайт не позволяет пользователям подписываться на него. Все сообщения об уязвимостях подписчика+, независимо от уровня серьезности, могут быть пересмотрены. Предполагается, что пользователь постоянно просматривает базу пользователей сайта.
<п>То же самое касается отчетов участников+ или даже уровней администратора. Если человек поддерживает небольшую сеть сайтов WordPress, уязвимости admin+ для него интересны, поскольку скомпрометированный администратор одного из сайтов может быть использован для атаки на суперадминистратора.”
Уязвимости на уровне участника
Многие уязвимости средней серьезности требуют доступа на уровне участника. Участник — это роль доступа, которая дает зарегистрированному пользователю возможность писать и отправлять контент, хотя, как правило, он не имеет возможности публиковать его.
<п>Большинству веб-сайтов не нужно беспокоиться об угрозах безопасности, требующих аутентификации на уровне участника, поскольку большинство сайтов не предлагают такой уровень доступа.
Хлоя объяснила:
“Большинству владельцев сайтов не стоит беспокоиться об уязвимостях, для использования которых требуется доступ на уровне участника и выше. Это связано с тем, что большинство сайтов не допускают регистрацию на уровне участников, и на большинстве сайтов нет участников.
<п>Кроме того, большинство атак на WordPress автоматизированы и направлены на то, чтобы легко использовать высокую прибыль, поэтому подобные уязвимости вряд ли станут целью большинства злоумышленников WordPress.”
Издателям веб-сайтов следует беспокоиться
Хлоя также сказала, что у издателей, которые предлагают разрешения на уровне участника, может быть несколько причин для беспокойства по поводу подобных эксплойтов:
“Проблемы с эксплойтами, требующими доступа на уровне участника, возникают, когда владельцы сайтов разрешают регистрацию на уровне участников, имеют участников со слабыми паролями или на сайте установлен другой плагин/тема с уязвимостью, которая каким-то образом обеспечивает доступ на уровне участника, и злоумышленник действительно хочет проникнуть на ваш сайт.
<п>Если злоумышленник сможет заполучить одну из этих учетных записей и существует уязвимость на уровне участника, то ему может быть предоставлена возможность повысить свои привилегии и нанести реальный ущерб жертве. Давайте возьмем, к примеру, уязвимость межсайтового скриптинга на уровне участника.
Из-за особенностей доступа на уровне участника администратор, скорее всего, просмотрит публикацию для проверки, и в этот момент любой внедренный JavaScript выполнит – это означает, что у злоумышленника будет относительно высокий шанс на успех, поскольку администратор предварительно просматривает публикацию.
<п>Как и в случае с любой другой уязвимостью межсайтового сценария, ее можно использовать для добавления новой учетной записи администратора, внедрения бэкдоров и, по сути, для выполнения всего, что может сделать администратор сайта. Если у серьезного злоумышленника есть доступ к учетной записи на уровне участника и нет другого тривиального способа повысить свои привилегии, то он, скорее всего, воспользуется межсайтовым сценарием на уровне участника для получения дальнейшего доступа. Как упоминалось ранее, вы, скорее всего, не увидите такого уровня сложности, ориентированного на подавляющее большинство сайтов WordPress, поэтому этими проблемами нужно заниматься действительно ценным сайтам.
В заключение, хотя я не думаю, что подавляющему большинству владельцев сайтов стоит беспокоиться об уязвимостях на уровне участников, все равно важно относиться к ним серьезно, если вы разрешаете регистрацию пользователей на на этом уровне на своем сайте вы не применяете уникальные надежные пароли пользователей и/или у вас ценный веб-сайт WordPress.”
Остерегайтесь уязвимостей
Хотя многие из уязвимостей среднего уровня, возможно, не являются поводом для беспокойства, все равно полезно оставаться в курсе о них. Сканеры безопасности, такие как бесплатная версия WPScan, могут предупреждать, когда плагин или тема становятся уязвимыми. Это хороший способ иметь систему предупреждений, чтобы быть в курсе уязвимостей.
Плагины безопасности WordPress, такие как Wordfence, предлагают упреждающую позицию безопасности, которая активно блокирует автоматические хакерские атаки и может быть дополнительно настроена опытными пользователями для блокировки определенных ботов и пользовательских агентов. Бесплатная версия Wordfence предлагает значительную защиту в виде брандмауэра и сканера вредоносных программ. Платная версия обеспечивает защиту от всех уязвимостей сразу после их обнаружения и до того, как уязвимость будет исправлена. Я использую Wordfence на всех своих веб-сайтах и не могу представить себе создание веб-сайта без него.
Безопасность, как правило, не рассматривается как проблема SEO, но ее следует рассматривать как проблему, поскольку неспособность обеспечить безопасность сайта может свести на нет все трудные усилия, предпринятые для повышения рейтинга сайта.