Большинство уязвимостей WordPress, около 67% из них были обнаружены в 2023 году, относятся к среднему уровню. Поскольку они наиболее распространены, имеет смысл понять, что они из себя представляют и когда представляют реальную угрозу безопасности. Вот факты о тех видах уязвимостей, которые вам следует о них знать.
Содержание
Что такое уязвимость среднего уровня?
Представитель WPScan, компании по сканированию безопасности WordPress, принадлежащей Automattic, объяснил, что они используют общую систему оценки уязвимостей (CVSS Scores) для оценки серьезности угрозы. Оценки основаны на системе нумерации от 1 до 10 и рейтингах от низкого, среднего, высокого и критического.
Представитель WPScan пояснил:
«Мы отмечаем не уровни как вероятность возникновения, а степень серьезности уязвимости, основанную на системе CVSS компании FIRST. В широком смысле средний уровень серьезности означает, что либо уязвимость трудно использовать (например, SQL-инъекция, для которой требуется учетная запись с высокими привилегиями), либо злоумышленник не получает многого от успешной атаки (например, неаутентифицированный пользователь может получить содержание частных сообщений в блоге).
Обычно мы не видим, чтобы они использовались так часто в крупномасштабных атаках, потому что они менее полезны, чем уязвимости более серьезной важности, и их сложнее автоматизировать. Однако они могут быть полезны при более целенаправленных атаках, например, когда учетная запись привилегированного пользователя уже скомпрометирована или злоумышленник знает, что некоторый личный контент содержит конфиденциальную информацию, полезную для него.
Мы всегда рекомендуем как можно скорее обновить уязвимые расширения. Тем не менее, если уровень серьезности средний, то нет необходимости делать это срочно, поскольку сайт с меньшей вероятностью станет жертвой крупномасштабной автоматической атаки.
Неподготовленному пользователю отчет может показаться трудным для восприятия. Мы постарались сделать его максимально подходящим для любой аудитории, но я понимаю, что было бы невозможно охватить всех, не сделав его слишком скучным или длинным. То же самое может произойти и с заявленной уязвимостью. Пользователю, потребляющему этот канал, потребуются некоторые базовые знания о настройке своего веб-сайта, чтобы понять, какая уязвимость требует немедленного внимания, а какую можно устранить, например, с помощью WAF.
Например, если пользователь знает, что его сайт не позволяет пользователям подписываться на него. Все сообщения об уязвимостях «Subscriber+», независимо от уровня серьезности, могут быть пересмотрены. Предполагается, что пользователь постоянно просматривает базу пользователей сайта.
То же самое касается отчетов участников+ или даже уровней администратора. Если человек поддерживает небольшую сеть сайтов WordPress, уязвимости admin+ для него интересны, поскольку скомпрометированный администратор одного из сайтов может быть использован для атаки на суперадминистратора».
Уязвимости на уровне участника
Многие уязвимости средней серьезности требуют доступа на уровне участника. Участник — это роль доступа, которая дает зарегистрированному пользователю возможность писать и отправлять контент, хотя, как правило, он не имеет возможности публиковать его.
Большинству веб-сайтов не нужно беспокоиться об угрозах безопасности, требующих аутентификации на уровне участника, поскольку большинство сайтов не предлагают такой уровень доступа.
Хлоя Чемберленд – Руководитель отдела анализа угроз в Wordfence объяснил, что большинству владельцев сайтов не следует беспокоиться об уязвимостях среднего уровня серьезности, для использования которых требуется доступ на уровне участника, поскольку большинство сайтов WordPress не предлагают такой уровень разрешений. Она также отметила, что такого рода уязвимости трудно масштабировать, поскольку их эксплуатацию сложно автоматизировать.
Хлоя объяснила:
«Большинству владельцев сайтов не стоит беспокоиться об уязвимостях, для использования которых требуется доступ на уровне участника и выше. Это связано с тем, что большинство сайтов не допускают регистрацию на уровне участников, и на большинстве сайтов нет участников.
Кроме того, большинство атак на WordPress автоматизированы и направлены на то, чтобы легко использовать высокую прибыль, поэтому подобные уязвимости вряд ли станут целью большинства злоумышленников WordPress».
Издателям веб-сайтов следует беспокоиться
Хлоя также сказала, что у издателей, которые предлагают разрешения на уровне участников, может быть несколько причин для беспокойства по поводу подобных эксплойтов:
«Обеспокоенность по поводу эксплойтов, требующих доступа на уровне участника, возникает, когда владельцы сайтов разрешают регистрацию на уровне участника, имеют участников со слабыми паролями или на сайте установлен другой плагин/тема с уязвимостью, которая каким-то образом обеспечивает доступ на уровне участника. и злоумышленник действительно хочет проникнуть на ваш сайт.
Если злоумышленник сможет заполучить одну из этих учетных записей и существует уязвимость на уровне участника, то ему может быть предоставлена возможность повысить свои привилегии и нанести реальный ущерб жертве. Давайте возьмем, к примеру, уязвимость межсайтового сценария на уровне участника.
Из-за характера доступа на уровне участника администратор, скорее всего, просмотрит публикацию для проверки, после чего будет выполнен любой внедренный JavaScript — это означает, что у злоумышленника будут относительно высокие шансы на успех, поскольку администратор просматривает публикацию. для публикации.
Как и в случае с любой другой уязвимостью межсайтового сценария, ее можно использовать для добавления новой учетной записи администратора, внедрения бэкдоров и, по сути, для выполнения всего, что может сделать администратор сайта. Если у серьезного злоумышленника есть доступ к учетной записи на уровне участника и нет другого тривиального способа повысить свои привилегии, то он, скорее всего, будет использовать межсайтовый сценарий на уровне участника для получения дальнейшего доступа. Как упоминалось ранее, вы, вероятно, не увидите такого уровня сложности, ориентированного на подавляющее большинство сайтов WordPress, поэтому этими проблемами должны заниматься действительно ценные сайты.
В заключение: хотя я не думаю, что подавляющему большинству владельцев сайтов стоит беспокоиться об уязвимостях на уровне участников, все же важно отнестись к ним серьезно. Если вы разрешаете регистрацию пользователей на этом уровне на своем сайте, вы не применяете уникальные сильные пароли пользователей и/или у вас есть ценный веб-сайт WordPress».
Будьте в курсе уязвимостей
Хотя о многих уязвимостях среднего уровня, возможно, и не стоит беспокоиться, все равно полезно оставаться в курсе о них. Сканеры безопасности, такие как бесплатная версия WPScan может выдать предупреждение, когда плагин или тема становятся уязвимыми. Это хороший способ иметь систему предупреждений, позволяющую всегда быть в курсе уязвимостей.
Плагины безопасности WordPress, такие как Wordfence, предлагают упреждающую позицию безопасности, которая активно блокирует автоматические хакерские атаки и может быть дополнительно настроена опытными пользователями для блокировки определенных ботов и пользовательских агентов. бесплатная версия Wordfence предлагает значительную защиту в виде брандмауэра и сканера вредоносных программ. Платная версия обеспечивает защиту от всех уязвимостей сразу после их обнаружения и до того, как уязвимость будет исправлена. Я использую Wordfence на всех своих веб-сайтах и не могу представить создание веб-сайта без него.
Безопасность, как правило, не рассматривается как проблема SEO, но ее следует рассматривать как проблему, поскольку неспособность защитить сайт может свести на нет все трудные усилия, сделанные для повышения рейтинга сайта.
Избранное изображение: Shutterstock/Хуан Вилла Торрес
