برخی از یافتههای کلیدی این گزارش این است که بیش از ۲۰ درصد از باگها بهعنوان تهدیدهای سطح بالا یا بحرانی رتبهبندی شدند و تهدیدات با شدت متوسط، ۶۷ درصد از آسیبپذیریهای گزارششده، اکثریت را تشکیل میدهند. بسیاری آسیبپذیریهای سطح متوسط را بهگونهای در نظر میگیرند که گویی تهدیدات سطح پایینی هستند و این یک اشتباه است زیرا سطح پایینی ندارند و باید به آنها توجه شود. این گزارش کاربران را برای بدافزار و باگهای وبسایت مقصر نمیداند. اما اشتباهات ناشران میتواند موفقیت هکرها را در سوء استفاده از این باگها تقویت کند.
آسیبپذیریهای سطح بحرانی، بالاترین سطح تهدید، تنها ۲.۳۸ درصد از آسیبپذیریها را نشان میدهند، که اساساً خبر خوبی برای کاربران وردپرس است. با این حال طبق گزارش آسیب پذیری وردپرس، همانطور که قبلا ذکر شد، هنگامی که با درصد تهدیدات سطح بالا (۱۷.۶۸٪) ترکیب میشود، تعداد یا باگهای مربوطه به تقریبا ۲۰٪ افزایش مییابد.
آسیبپذیریهای احراز هویت شده آنهایی هستند که مهاجم را ملزم میکند ابتدا به اعتبار کاربری و سطوح مجوز همراه آنها دست یابد تا از یک باگ خاص سوء استفاده کند. اکسپلویتهایی که نیاز به احراز هویت در سطح مشترک دارند، بیشترین بهره برداری در بین اکسپلویتهای احراز هویت شده هستند و آنهایی که به دسترسی در سطح مدیر نیاز دارند کمترین خطر را دارند (اگرچه به دلایل مختلف همیشه ریسک پایینی ندارند). حملات بدون احراز هویت عموماً سادهترین مورد بهرهبرداری هستند، زیرا هر کسی میتواند بدون نیاز به دریافت اعتبار کاربری ابتدا یک حمله را انجام دهد.
گذرواژههای ضعیف و پلاگینهای نال شده دو دلیل رایج برای بدافزارهایی بودند که از طریق جتپک اسکن یافت میشوند. نرمافزارهای نال شده، افزونههای غیرقانونی هستند که در صورت مسدود شدن، قابلیت تأیید اعتبار دارند. این پلاگینها معمولاً امکان آلودگی با بدافزار را فعال میکنند. رمزهای عبور ضعیف را میتوان از طریق حملات brute-force حدس زد.
آسیبپذیریهایی که به اعتبار سطح مدیر نیاز دارند، بالاترین درصد سوء استفادهها را نشان میدهند و پس از آن Cross Site Request Forgery (CSRF) با ۲۴.۷۴ درصد آسیبپذیریها قرار دارد. این جالب است زیرا CSRF حملهای است که از مهندسی اجتماعی استفاده میکند تا قربانی را وادار به کلیک روی پیوندی کند که سطوح مجوز کاربر از آن به دست آمده است. این اشتباهی است که ناشران وردپرس باید از آن آگاه باشند زیرا تنها کاری که لازم است این است که یک کاربر سطح مدیریت پیوندی را دنبال کند که سپس هکر را قادر میسازد تا امتیازات سطح مدیریت را برای وبسایت وردپرس در نظر بگیرد.
کنترل دسترسی ناقص در زمینه وردپرس یا Broken Access Control به یک نقص امنیتی اشاره دارد که میتواند به مهاجم بدون مجوزهای لازم اجازه دسترسی به مجوزهای اعتبار بالاتر را بدهد. در بخشی از گزارش آسیب پذیری وردپرس که به رخدادها و آسیبپذیریهای زیربنایی آسیبپذیریهای تأیید نشده یا سطح مشترک گزارششده نگاه میکند (وقوع در مقابل آسیبپذیری در گزارشهای تأیید نشده یا مشترکین+)، WPScan درصدهای مربوط به هر نوع آسیبپذیری را تجزیه میکند. برای راه اندازی (زیرا آنها به حداقل تا بدون احراز هویت کاربر نیاز دارند).
