WPScan Threat Report 2024

Odbiorcy raportu

Ten raport został przygotowany tak, aby każdy – od osób dopiero zainteresowanych bezpieczeństwem, po doświadczonych badaczy – mógł z niego skorzystać. Chcemy zapewnić przystępne wprowadzenie w aktualny krajobraz zagrożeń dla witryn WordPress, a jednocześnie przekazać specjalistom kompletny obraz najnowszych obserwacji i trendów, jakie obecnie dostrzegamy.

Kluczowe wnioski

• Najczęściej zgłaszanymi typami podatności w 2023 r. były luki Cross-Site Scripting, Cross-Site Request Forgery, problemy z autoryzacją oraz SQL Injection.
• Chociaż Cross-Site Scripting był najczęściej raportowaną podatnością, nie okazał się najczęściej wykrywanym atakiem przez zaporę Jetpack — najpopularniejsze były próby SQL Injection.
• 67 % zgłoszonych podatności zaklasyfikowano jako średnie, 18 % jako wysokie, a 2 % jako krytyczne.
• 37 % podatności wymagało od atakującego uprzedniego uwierzytelnienia (bezpośrednio lub poprzez CSRF używając ofiary) na docelowej stronie.
• Najczęstszym wektorem infekcji były słabe lub wyciekłe dane logowania oraz wtyczki „nulled” z zaszytymi backdoorami.
• Zapora Jetpack, mimo że jest stosunkowo nowym elementem pakietu Jetpack Security, już dowodzi swojej skuteczności, blokując potencjalne ataki na wczesnym etapie i uniemożliwiając napastnikom zdobycie przyczółka na chronionych witrynach.

Podsumowanie

Raport WPScan Website Threat Report łączy wszystkie informacje zebrane przez Zespół Badań Bezpieczeństwa w ciągu 2023 roku. Korzystając z logów naszych użytkowników, zidentyfikowaliśmy najczęstsze zagrożenia, podatności oraz aktywne ataki występujące w tym okresie. Analiza pokazała, że choć Cross-Site Scripting jest chętnie zgłaszany przez niezależnych badaczy i łowców bug-bounty, w praktyce nie należy do najczęstszych wektorów ataku. Ustaliliśmy również, że po udanej kompromitacji najpopularniejszym kodem dodawanym przez napastników jest ten, który umożliwia im utrzymanie dostępu do zaatakowanej witryny.

Metodologia

Raport powstał w oparciu o reprezentatywną próbę witryn, które korzystają z Jetpack Scan lub Jetpack Protect, a także usług Automattic opartych na Jetpack Scan. Po zsumowaniu wszystkich źródeł otrzymano 360 734 analizowane witryny. Uwzględniono ponadto luki ujawnione przez WPScan w 2023 r., zweryfikowane przez ich zespół badaczy bezpieczeństwa, jak również zgłoszenia przekazane przez podmioty trzecie. Warto podkreślić, że raport obejmuje tylko niewielki fragment całego ekosystemu internetowego: skupia się wyłącznie na stronach WordPress. Nie przedstawia zatem pełnego obrazu sieci, lecz bardziej zwięzły, lecz reprezentatywny przekrój.

Podatności

Zespół WPScan, wspólnie z niezależnymi badaczami, odnalazł i opracował łącznie 5 271 podatności w 2023 roku. Badacze ci — podobnie jak autorzy oprogramowania — korzystają z naszej procedury Responsible Vulnerability Disclosure, aby mieć pewność, że ich odkrycia są prawidłowe i istotne, oraz polegają na naszej koordynacji przy publikacji poprawek i upublicznieniu informacji.

Rodzaje ujawnionych podatności

1. Cross-Site Scripting (CWE-79) – 53,02 % wszystkich zgłoszeń.
2. Cross-Site Request Forgery (CWE-352) – 19,89 %.
3. Błędy autoryzacji (CWE-862) – 8,11 %.
4. SQL Injection (CWE-89) – kolejne miejsce w zestawieniu.

Mniej liczne, choć nadal istotne, były m.in. podatności typu Directory Traversal, Remote Code Execution oraz brak walidacji plików przy przesyłaniu na serwer. Wszystkie zostały w pełni opisane w bazie WPScan wraz z wymaganym poziomem uwierzytelnienia, oceną CVSS oraz dostępnymi poprawkami.

Rozkład ważności ujawnionych podatności

Pod względem ważności nieco ponad 20 % wszystkich zgłoszonych podatności sklasyfikowano jako wysokie lub krytyczne, natomiast luki o średniej ważności zdecydowanie dominowały — stanowiły 67 % raportów. Choć wartość „severity” nie przekłada się bezpośrednio na ryzyko realnej eksploatacji, stanowi ważną wskazówkę dla właścicieli witryn, kiedy rozważyć wyłączenie lub aktualizację danego rozszerzenia.

Ocena ryzyka podatności

Zespół WPScan, weryfikując każdą zgłoszoną lukę, sprawdza, czy może ją wykorzystać użytkownik uwierzytelniony czy też nie, i jakiego poziomu uprawnień potrzeba do skutecznego ataku. Udostępnienie tej informacji pozwala właścicielom witryn lepiej ocenić ryzyko pozostawienia nieaktualnego oprogramowania. W 2023 roku około 22 % ujawnionych luk wymagało jedynie uprawnień subskrybenta lub w ogóle nie wymagało logowania, co oznacza, że praktycznie każdy odwiedzający mógł przeprowadzić atak. Z kolei 30,71 % raportów dotyczyło błędów wymagających uprawnień administratora — zmniejsza to ryzyko w zależności od konfiguracji witryny, lecz takich luk nie wolno ignorować.

Poziomy uwierzytelniania

Prawie 25 % wszystkich ujawnionych podatności stanowiły ataki typu CSRF. Uda się je wykorzystać tylko wtedy, gdy ofiara jest już zalogowana na podatnej stronie i odwiedzi stronę przygotowaną przez napastnika. To ważny wskaźnik, pokazujący, że deweloperzy nie stosują właściwych kontroli autentyczności.

Analizując luki możliwe do wykorzystania bez logowania lub przy poziomie subskrybenta, stwierdzono, że zdecydowana większość to brak poprawnej autoryzacji — umożliwia użytkownikom wykonywanie czynności, do których nie mają uprawnień. Choć „Nieautoryzowany upload plików” technicznie mieści się w tej grupie, traktujemy go osobno, bo pozwala napastnikom łatwo eskalować uprawnienia, np. przez wgranie backdoora.

Drugim najczęstszym wektorem przy minimalnych uprawnieniach było SQL Injection; w takim scenariuszu luka ma zarówno wysoką wagę, jak i ryzyko, bo pozwala atakującym modyfikować bazę danych lub wykradać jej zawartość bez istotnego uwierzytelnienia.

Kluczowe luki w rozszerzeniach

Spośród wszystkich przeanalizowanych podatności kilka zasługuje na szczególne wyróżnienie ze względu na ich wpływ na witrynę lub jej odwiedzających. Dwie istotne luki typu Stored Cross-Site Scripting dotknęły wtyczek z ponad 200 000 instalacjami: WP Go Maps oraz Popup Builder.

Na uwagę zasłużyły również podatności SQL Injection: jedna występowała w SlimStat Analytics (90 000 aktywnych instalacji), a druga w WP Fastest Cache (1 000 000 użytkowników).

Inne popularne wtyczki miały błędy pozwalające napastnikom albo wgrywać złośliwy kod, albo wykonywać dowolne polecenia na podatnej stronie. Przykładem jest WP Meta SEO, w której luka deserializacji PHAR umożliwiała zdalne wykonanie kodu (RCE).

Zgłosiliśmy też szczegółowe informacje o podatności w Essential Blocks, pozwalającej na dołączanie dowolnych plików, oraz w Formidable Forms, gdzie brak odpowiedniego sprawdzania uprawnień umożliwiał użytkownikom o niskich rolach instalowanie dowolnych wtyczek na podatnej witrynie.

Kolejny ważny raport dotyczył Royal Elementor Addons: wtyczka nie weryfikowała rozszerzeń plików, co pozwalało napastnikom konstruować żądania skutkujące nieautoryzowanym przesyłaniem plików.

Luki w rdzeniu WordPress

W 2023 roku WPScan odnotował 13 podatności w samym rdzeniu (core) WordPressa. Dwie z nich zostały odkryte wewnętrznie przez zespół badawczy WPScan.

• < 6.3.2 – Bez uwierzytelnienia można było ujawnić adres e-mail autora posta.
• Pop Chain Gadget – łańcuch pop-gadżetów umożliwiający zdalne wykonanie kodu (RCE).

Tylko jedna luka uzyskała wysoki poziom ważności:

• WordPress 5.6 – 6.3.1 – Reflected XSS poprzez Application Password Requests.

Wciąż monitorujemy także podatność publicznie opisaną w 2022 r. — Blind SSRF poprzez DNS Rebinding (≤ 6.1.1). Choć nie została zweryfikowana przez naszych badaczy, jej opis krąży w Internecie, dlatego utrzymujemy ją w bazie WPScan.

Aktywność zapory (Firewall Jetpack)

Zapora Jetpack, uruchomiona we wrześniu 2022 r., filtruje najbardziej rozpowszechnione wektory ataku. Nowe reguły dodajemy na podstawie bieżącej analizy logów i zgłoszeń WPScan.

• Ponad 7 000 000 żądań (dokładnie 7 052 258) zablokowano, chroniąc przed luką o poziomie CVSS 8,8 w komponencie tagDiv Composer – uniemożliwiono w ten sposób masowe ataki XSS na podatne witryny.
• SQL Injection stanowiły 8,63 % wszystkich zablokowanych prób.
• Zablokowano 499 211 ataków typu Path Traversal (5,26 %).
• Mimo że XSS to najczęściej zgłaszany typ luki, w realnym ruchu stanowił tylko 3,06 % zatrzymanych żądań.

W trakcie roku zapora udaremniła także kampanię „Fake plugin Core-stab” (webshell): w ciągu kilku godzin od wprowadzenia reguły zatrzymano prawie 30 000 prób pobrania złośliwych plików kierowanych do wielu witryn.

Ataki złośliwym oprogramowaniem

Jetpack Scan (korzystający z bazy WPScan) wykrył w 2023 r. 70 000 witryn zawierających co najmniej jeden złośliwy plik.

Łącznie odnotowano 800 000 zainfekowanych plików – 600 000 z nich (około 75 %) określono jako ogólne malware. Pozostałe to w większości web-shell, backdoory lub narzędzia spamerskie.

Najczęstsze przyczyny infekcji:

• Wyciekłe lub słabe dane logowania (ataki brute-force, słabe hasła administratora).
• „Nulled” oprogramowanie – nielegalnie rozpowszechniane, zmodyfikowane wtyczki lub motywy, często z domyślnie aktywnymi backdoorami (źródło aż 1,52 % wszystkich zainfekowanych witryn).

Klasyfikacja zagrożeń wykrytych przez Jetpack Scan

Kategoria	Liczba plików	Odsetek
Ogólne malware	600 000	75 %
Backdoory	113 880	14 %
Web-shell / uploaders	38 500	4,8 %
SEO-spam / pharma hacks	24 000	3 %
Inne (ransomware, boty)	23 620	3 %

(Część backdoorów wchodzi także w zbiory „ogólne malware”, więc wartości mogą się nakładać. W tabeli podano minimalne wartości potwierdzone.)

Alerty i reakcja ochronna

• 85 465 wiadomości hardeningu – zalecenia natychmiastowego podniesienia poziomu zabezpieczeń (np. zmiana haseł administracyjnych, aktualizacje).
• 109 876 alertów fuzzy scan – potencjalne, niejednoznaczne zagrożenia z wysokim prawdopodobieństwem infekcji.

Jetpack oferuje automatyczne usuwanie znalezionego malware. Mechanizm wykorzystuje kopie zapasowe (VaultPress Backup) oraz repozytorium „czystych” plików WordPress, aby przywrócić integralność codebase’u bez ręcznego przebudowywania strony.

Prognoza

Na podstawie trendów zaobserwowanych w 2023 r. przewidujemy, że w 2024 r.:

• Wyciekłe lub słabe hasła oraz ataki brute-force pozostaną najczęstszym wektorem uzyskania pierwszego dostępu.
• Próby ominięcia uwierzytelnienia i ataki SQL Injection będą nadal częściej widoczne w logach niż XSS, mimo że te ostatnie wciąż dominują w raportach bug-bounty.
• Cross-Site Scripting pozostanie najczęściej zgłaszaną podatnością w bazie WPScan, ponieważ łatwo ją wykryć narzędziami automatycznymi, a deweloperzy wciąż popełniają błędy sanitacji danych w panelu administracyjnym.
• Ataki wykorzystujące backdoory w „nulled” wtyczkach będą rosnąć, ze względu na łatwy dostęp do pirackich repozytoriów motywów i pluginów.
• Napastnicy nadal będą łączyć Path Traversal z file upload lub RCE, aby eskalować dostęp i trwale osadzić się na serwerze.
• Organizacje, które wprowadzą dwuskładnikowe uwierzytelnienie dla kont administratora oraz regularne skanowanie WPScan/Jetpack, znacząco zredukują ryzyko skutecznego ataku.

Wnioski

Choć krajobraz zagrożeń WordPress nieustannie się zmienia, cel cyberprzestępców pozostaje ten sam – wykorzystać podatne środowiska, aby uzyskać zysk finansowy, rozprzestrzenić złośliwe oprogramowanie lub przechwycić cenne dane. Jako najpopularniejszy system CMS, WordPress siłą rzeczy będzie nadal najczęściej atakowanym celem.

Kluczowe elementy solidnej postawy bezpieczeństwa wyglądają w 2024 r. następująco:

• Aktualizacje i łatki. Utrzymywanie w najnowszej wersji rdzenia WordPressa, wtyczek oraz motywów — to wciąż najskuteczniejsza pojedyncza obrona przed znanymi lukami.
• Silne uwierzytelnienie. Menedżer haseł, unikanie ponownego używania haseł, wymóg znaków specjalnych oraz włączone MFA (dwuskładnikowe logowanie) dla wszystkich kont z uprawnieniami administracyjnymi.
• Zasada najmniejszych uprawnień. Przypisuj użytkownikom tylko te role, które są absolutnie niezbędne do ich zadań.
• Zapora aplikacyjna (WAF). Filtrowanie ruchu wejściowego blokuje popularne wektory ataku (SQLi, XSS, Path Traversal) zanim osiągną kod aplikacji.
• Kopie zapasowe w czasie rzeczywistym. Nawet najlepsze zabezpieczenia mogą zostać złamane; możliwość przywrócenia witryny do stanu sprzed incydentu jest obowiązkowa.
• Ciągłe skanowanie malware i monitorowanie zdrowia witryny. Automatyczne wykrywanie nieautoryzowanych zmian plików oraz ich naprawa zmniejsza czas ekspozycji.

WPScan i Jetpack — wspólna misja na rzecz bezpieczniejszego WordPressa

• WPScan utrzymuje najbardziej kompletną, zweryfikowaną bazę podatności ekosystemu WordPress. Programiści, zespoły DevSecOps i firmy typu enterprise mogą integrować jego API lub używać WPScan CLI Scanner do testów penetracyjnych, by zyskać dokładny obraz swoich słabości zanim zrobią to napastnicy.
• Jetpack Security udostępnia te same informacje właścicielom witryn w prostszej formie wtyczki „zainstaluj i zapomnij”. Pakiet łączy firewall, skanowanie malware w czasie rzeczywistym, kopie zapasowe i ochronę przed spamem, minimalizując nakład pracy przy maksymalnym efekcie ochronnym. „Twoja witryna jest po prostu chroniona” — tak autorzy podsumowują współdziałanie WPScan i Jetpack Security, które razem tworzą najbardziej kompleksową linię obrony dostępną dla społeczności WordPress.

Glosariusz

Authentication bypass attempts

Podstawowa definicja: Próby ominięcia procesu logowania, aby uzyskać nieautoryzowany dostęp.
Zaawansowana definicja: Techniki polegające na wykorzystaniu luk w logice lub konfiguracji uwierzytelniania (np. błędów w plikach .htaccess, nieprawidłowej walidacji tokenów lub złego mapowania ról), które pozwalają atakującemu wejść do systemu bez podania poprawnych danych lub z pominięciem dodatkowych czynników weryfikacji.

Backdoors

Podstawowa definicja: Ukryte „tylne drzwi” dające napastnikowi potajemny dostęp do systemu.
Zaawansowana definicja: Fragmenty złośliwego kodu (np. w formie web-shella, zaszytego pliku PHP lub zmodyfikowanego motywu), które ustanawiają kanał komunikacji z serwerem, umożliwiając zdalne wykonywanie poleceń, przesyłanie plików lub eskalację uprawnień – często z pominięciem logów i standardowych mechanizmów kontroli.

Botnet

Podstawowa definicja: Sieć zainfekowanych urządzeń sterowanych centralnie przez atakującego.
Zaawansowana definicja: Rozproszona infrastruktura składająca się z tysięcy (lub milionów) komputerów, serwerów czy urządzeń IoT, działająca pod kontrolą tzw. botmastera; wykorzystywana do zmasowanych kampanii DDoS, rozsyłania spamu, kopania kryptowalut lub przeprowadzania skoordynowanych ataków na usługi webowe.

Cross-Site Request Forgery (CSRF)

Podstawowa definicja: Atak wymuszający wykonanie niechcianej akcji w serwisie, w którym ofiara jest zalogowana.
Zaawansowana definicja: Manipulacja polegająca na przesłaniu specjalnie spreparowanego żądania HTTP korzystającego z zaufania między przeglądarką a aplikacją; jeśli strona nie stosuje tokenów CSRF lub nagłówków „SameSite”, napastnik może np. zmienić e-mail konta, hasło albo wgrać plik, wykorzystując autorytet uwierzytelnionego użytkownika.

Cross-Site Scripting (XSS)

Podstawowa definicja: Wstrzykiwanie niebezpiecznego kodu (zwykle JavaScript) na stronę odwiedzaną przez innych użytkowników.
Zaawansowana definicja: Atak oparty na złożeniu lub odzwierciedleniu niesanitowanych danych wejściowych, który pozwala wykonywać skrypty w kontekście przeglądarki ofiary; skutkuje kradzieżą sesji, przekierowaniami do stron phishingowych, instalacją malware lub modyfikacją treści witryny.

Fuzzy Rules

Podstawowa definicja: Elastyczne reguły bezpieczeństwa oceniające ruch pod kątem podobieństwa do znanych ataków.
Zaawansowana definicja: Mechanizm filtracji używający logiki rozmytej do klasyfikacji żądań HTTP – zamiast binarnego „blokuj / przepuść”, przypisuje im wagę ryzyka na podstawie metryk (np. długość parametrów, rzadkie znaki, kontekst nagłówków), co zmniejsza liczbę fałszywych alarmów i podnosi skuteczność WAF-a.

Hardening

Podstawowa definicja: Wzmacnianie zabezpieczeń systemu lub aplikacji.
Zaawansowana definicja: Ciągły proces redukcji powierzchni ataku poprzez wyłączanie nieużywanych usług, ograniczanie uprawnień, stosowanie właściwych nagłówków HTTP, konfigurację zasad plików oraz regularne aktualizacje; obejmuje testy penetracyjne i monitorowanie zmian konfiguracyjnych.

Malware attacks

Podstawowa definicja: Ataki z użyciem złośliwego oprogramowania.
Zaawansowana definicja: Kampanie polegające na umieszczeniu lub wykonaniu szkodliwych plików (wirusów, trojanów, ransomware, cryptominerów) na serwerze lub w przeglądarce użytkownika; zazwyczaj obejmują utrzymywanie trwałego dostępu (persistence), kradzież danych lub włączenie witryny do botnetu.

ModSecurity Rules

Podstawowa definicja: Zestaw reguł chroniących aplikację webową przed niebezpiecznymi żądaniami.
Zaawansowana definicja: Biblioteka filtrów WAF oparta na silniku ModSecurity, zawierająca sygnatury dla SQL Injection, XSS, Path Traversal, Local File Inclusion i innych zagrożeń; reguły te analizują zapytania HTTP na etapie serwera, blokując ruch, który pasuje do znanych wzorców ataku.

Path Traversal

Podstawowa definicja: Luka umożliwiająca odczyt plików serwera, do których nie powinno być dostępu.
Zaawansowana definicja: Wykorzystanie sekwencji „../” lub nieprawidłowej walidacji ścieżki, aby „wyjść” z katalogu aplikacji i przeglądać albo pobierać poufne pliki systemowe (np. /etc/passwd, wp-config.php); bywa łączone z uploadem plików i RCE, co może prowadzić do pełnej kompromitacji serwera.