53 إحصائيات أمان WordPress

لا أحد يعرف بالضبط عدد مواقع WordPress التي تم اختراقها ، ولكن أفضل تقدير لدينا هو 13000 على الأقل يوميًا. هذا حوالي 9 في الدقيقة ، و 390.000 في الشهر ، و 4.7 مليون في السنة.

تم اختراق 4.3٪ من مواقع WordPress. تم اختراق موقع واحد تقريبًا من كل 25 موقعًا من مواقع WordPress.

كل يوم ، يتم اختراق أكثر من 30000 موقع.

10.4٪ من مواقع WordPress كانت معرضة لخطر الاختراق بسبب استخدام مكونات إضافية أو سمات قديمة أو إصدار WordPress.

بفضل شعبيتها واستخدامها على نطاق واسع ، يأتي ما يقرب من 90.000 هجوم من خلال WordPress كل دقيقة.

يعد استخدام مكون حماية محتوى WordPress هو أفضل طريقة.

نوصي باستخدام WPShield Content Protector نظرًا لوجود 15 واقيًا مختلفًا يشتمل عليه.

تشير التقديرات إلى أن 8٪ من مواقع WordPress تتعرض للاختراق بواسطة كلمات مرور ضعيفة أو مسروقة.

يجب على مالكي مواقع الويب اختيار كلمة مرور بسيطة حتى لا ينسوها ، ولكن تأكد من صعوبة تذكرها وعدم تمكن المتسللين من تخمينها.

عندما لا يتم تحديث مواقع WordPress بانتظام بما فيه الكفاية ، فإنها تكون معرضة للخطر بشكل خاص. المواقع القديمة تسبب 61٪ من الهجمات.

قد يبدو الأمر مزيفًا ، لكن WordPress يتعرض للهجوم طوال الوقت.

وفقًا لتقرير موقع الويب المخترق السنوي لـ Sucuri ، كان WordPress أكثر أنظمة إدارة المحتوى شيوعًا التي يتم اختراقها في عام 2021.

95.6٪ من الإصابات التي اكتشفها Sucuri كانت على مواقع WordPress.

1- WordPress بنسبة 95.6٪

2- جملة - 2.03٪

3- دروبال بنسبة 0.83٪

4- ماجنتو - 0.71٪

5- OpenCart بنسبة 0.35٪

تجدر الإشارة إلى أن اكتشاف Sucuri لمعظم الإصابات على المواقع التي تعمل بنظام WordPress لا يعني أن WordPress نفسه ضعيف بطبيعته.

ووردبريس.

نظرًا لأن WordPress هو أكثر أنظمة إدارة المحتوى شيوعًا ، فمن المرجح أن يستهدفه المتسللون.

حاول أكثر من 9.7 مليون عنوان IP فريد استغلال الثغرات الأمنية في عام 2020.

الإحصاءات مثيرة للإعجاب ، في رأيي ، ولكن الأمر الأكثر إثارة للإعجاب هو أن 99.6٪ من جميع عمليات الاستغلال تم منعها من النجاح بواسطة Wordfence ، بينما تم إيقاف عمليات الاستغلال المتبقية من خلال إجراءات أمنية أخرى على موقع الويب.

تتسبب كلمات المرور غير الآمنة أو المسروقة في 81٪ من عمليات اختراق WordPress.

استهدفت جميع الهجمات تقريبًا مواقع الويب بغرض تشويهها ، ثم حاولت إدخال نصوص ضارة.

يتم سرقة كلمات المرور بشكل شائع من خلال هجمات القوة الغاشمة ، حيث يستخدم المتسللون البرامج لتسجيل الدخول إلى مواقع الويب باستخدام أسماء مستخدمين وكلمات مرور عشوائية تلقائيًا.

تم اختراق أكثر من 18 مليون موقع WordPress في عام 2011 بسبب ثغرة أمنية وجدت في مكون إضافي يسمى TimThumb.

يحتوي المكون الإضافي لإنشاء الصور المصغرة TimThumb لـ WordPress على ثغرة أمنية في حقن SQL.

تشير التقديرات إلى أن 97٪ من هجمات WordPress تتم تلقائيًا.

لماذا ا؟ لأنها فعالة وفعالة.

من السهل على المهاجمين استخدام الهجمات التلقائية للعثور على العيوب في موقع الويب قبل أن يتمكن أصحابها من إصلاحها. الهجمات الآلية رخيصة أيضًا.

لا يحتاج المتسللون إلى الدفع مقابل البشر ، فقط التطبيقات التي تبحث عن نقاط الضعف لساعات أو أيام في كل مرة.

تأتي أفضل توصية لتقوية WordPress من Sucuri ، الذي وجد أن 84٪ من مواقع الويب لا تحتوي على جدار حماية لتطبيق موقع الويب.

يعد استخدام مكون أمان WordPress أمرًا ضروريًا أيضًا لحماية مواقع الويب من القرصنة.

هذه هي أهم 5 توصيات متعلقة بالتصلب وجدها Sucuri:

1- فقدان WAF - 84٪

2- خيارات X-Frame - 83٪

3- لا يوجد CSP - 82٪

4- أمن النقل الصارم - 72٪

5- عدم إعادة التوجيه إلى HTTPS - 17٪

يتم تثبيت مكون إضافي واحد على الأقل لجدار الحماية بواسطة 81٪ من مواقع WordPress.

يستخدم 64٪ من مسؤولي WordPress الذين شملهم الاستطلاع المصادقة الثنائية (المصادقة الثنائية) ، بينما لا يستخدمها 36٪.

65٪ من مديري WordPress الذين شملهم الاستطلاع يستخدمون مكونات إضافية لسجل النشاط.

كان هناك 96 ٪ من مديري WordPress ومالكي مواقع الويب الذين رأوا أمان WordPress مهمًا جدًا و 4 ٪ رأوا أنه مهم إلى حد ما.

43٪ من المسؤولين يقضون 1-3 ساعات شهريًا على أمان WordPress

يقضي 35٪ من المشرفين أكثر من 3 ساعات شهريًا على أمان WordPress

22٪ من المشرفين يقضون أقل من ساعة على أمان WordPress.

قال ما يقرب من ثلاثة أرباع جميع المشاركين في الاستطلاع إن تحديث جوهر WordPress والمكونات الإضافية هو أكثر مهام الأمان شيوعًا.

يتم سرد أهم المهام التي يؤديها متخصصو أمن الويب لعملائهم هنا:

1- 75٪ تحديث CMS والإضافات

2- 67٪ مواقع نسخ احتياطي

3- 57٪ تثبيت شهادات SSL

4- 56٪ يراقبون أو يفحصون مواقع الويب بحثًا عن البرامج الضارة

5- يصلح 38٪ المواقع المتعلقة بالمسائل الأمنية

6- 34٪ تصحيح نقاط الضعف

يوصى باستخدام التحديث التلقائي على WordPress ليتم تحديثه تلقائيًا ، ولكن يوصى بشدة بتحديث جميع المكونات الإضافية والسمات شهريًا على الأقل.

إنها إحصائيات حول تحديث WordPress:

1- 35 بالمائة من مديري المواقع الذين يقومون بتحديث مواقعهم أسبوعيًا

2 - 20 بالمائة يفعلون ذلك كل يوم

3- 18٪ يفعلون ذلك كل شهر

4- 21٪ يستخدمون نظام التحديث التلقائي حتى لا يطلب منهم تحديث مواقعهم يدويًا

الإحصائيات الرئيسية حول تحديثات واختبار WordPress:

→ 52٪ من مالكي ومسؤولي WP الذين شملهم الاستطلاع لديهم تحديثات تلقائية ممكّنة لبرامج WP والمكونات الإضافية والسمات.

→ 25٪ دائمًا يختبرون التحديثات في بيئة اختبار أو بيئة مرحلية أولاً

→ 32٪ في بعض الأحيان يختبرون التحديثات

→ 17٪ لا يختبرون التحديثات مطلقًا

→ 26٪ فقط يختبرون التحديثات الرئيسية

قد يفاجئك أن تسريب أوراق بنما كشف 4.8 مليون رسالة بريد إلكتروني بسبب ثغرة أمنية في مكون WordPress الإضافي.

أكثر من 35٪ من المستجيبين يقضون أقل من ساعة واحدة شهريًا في المهام الأمنية ، بينما يقضي 22٪ أكثر من ثلاث ساعات.

دون احتساب عمليات الاستغلال الناجحة ، منع برنامج Wordfence أكثر من 4 مليارات محاولة استغلال وأكثر من 90 مليار محاولة تسجيل دخول ضارة في عام 2020.

الإصدار القادم.

يوصى دائمًا باستخدام أحدث إصدار من WordPress. في وقت كتابة هذا التقرير ، كان WordPress 6.1.0 متاحًا.

يتم إصدار العديد من التحديثات على WordPress كل عام للأمان والصيانة.

كانت هناك غالبية مواقع WordPress القديمة المصابة ، مما يدل على أن تشغيل WordPress القديم مرتبط إلى حد ما بالإصابة

سيؤدي استخدام أحدث إصدار من WordPress إلى تقليل مخاطر مهاجمة المتسللين لموقعك.

البرامج الضارة هي أكثر أنواع اختراق WordPress شيوعًا التي يراها Sucuri أثناء الاستجابة للحادث.

تم العثور على أهم الاختراقات WordPress بواسطة Sucuri

1- البرمجيات الخبيثة 61.65٪

2- الباب الخلفي بنسبة 60.04٪

3- تحسين محركات البحث غير المرغوب فيها بنسبة 52.60٪

4- Hacktool بنسبة 20.27٪

5- التصيد - 7.39٪

6- التشوهات - 6.63٪

7- Mailer بنسبة 5.92٪

8- قطارة - 0.63٪

تم اختراق حوالي 29٪ من المتسللين عن طريق ثغرة أمنية في موضوع WordPress الخاص بهم ، وفقًا لمسح شمل حوالي 10000 موقع.

وفقًا للتقديرات ، فإن 41٪ من جميع مواقع الويب التي يستضيفها مزود الخدمة قد تم استغلال نقاط الضعف فيها.

نظرًا لأن شركات الاستضافة يمكنها الاحتفاظ بآلاف المجالات في وقت واحد ، فقد تتأثر مئات المواقع في حالة اكتشاف خطأ.

38281 نقطة ضعف

تم العثور على 99.42٪ من جميع الثغرات الأمنية داخل نظام WordPress البيئي في السمات والمكونات الإضافية في عام 2021. وهذه زيادة عن 96.22٪ في عام 2020.

علاوة على ذلك ، كانت 92.81٪ من الثغرات ناتجة عن المكونات الإضافية ، في حين أن 6.61٪ كانت بسبب السمات.

42٪ من مواقع WordPress بها مكون واحد على الأقل مثبت.

تشير التقديرات إلى أن 91.38٪ من المكونات الإضافية متاحة مجانًا من خلال مستودع WordPress.org ، بينما يتوفر 8.62٪ فقط من خلال أسواق الطرف الثالث.

ما يقرب من نصف (50٪) الثغرات الأمنية في قاعدة بيانات Patchstack في عام 2021 هي ثغرات أمنية في البرمجة النصية عبر المواقع.

نقاط الضعف الأكثر شيوعًا في WordPress:

1- البرمجة النصية عبر الموقع (XSS) بنسبة 49.82.3٪

2- أنواع الثغرات الأخرى مجتمعة - 13.3٪

3- التزوير عبر المواقع (CSRF) - 11.2٪

4- حقن SQL (SQLi) بنسبة 6.8٪

5- تحميل ملف تعسفي - 6.8٪

6- المصادقة المكسورة - 2.8٪

8- 7- الإفصاح عن المعلومات - 2.4٪

9- تجاوز الضعف - 1.1٪

10- تصعيد الامتيازات - 1.1٪

في المجموع ، 84٪ من جميع الثغرات الأمنية على الإنترنت ناتجة عن البرمجة النصية عبر المواقع أو هجمات XSS.

39٪ من ثغرات WordPress ناتجة عن البرمجة النصية عبر المواقع (XSS)

52٪ من جميع نقاط الضعف في WordPress ناتجة عن مكونات إضافية قديمة.

هذا يعني أنه يمكنك حل أكثر من نصف مشاكل WordPress الخاصة بك عن طريق تحديث المكونات الإضافية الخاصة بك.

فقط لأنهم لم يتم اختراقهم في الماضي لا يعني أنهم لن يتم اختراقهم في المستقبل ، لذلك يجب عليك دائمًا تحديث المكونات الإضافية الخاصة بك إذا كنت تريد الحفاظ عليها آمنة.

تصيب الإضافات الوهمية لكبار المسئولين الاقتصاديين أكثر من 4000 موقع ووردبريس.

تأتي أكبر ثغرة أمنية في WordPress من المكونات الإضافية.

ذكرت WPScan أن 52٪ من 4000 ثغرة معروفة في WordPress ناتجة عن المكونات الإضافية ، مقارنة بـ 37٪ من WordPress core و 11٪ حسب السمات.

كان نموذج الاتصال 7 هو المكون الإضافي الأكثر ضعفًا في WordPress. تم العثور عليه في 36.3٪ من جميع المواقع المصابة عند نقطة الإصابة.

ومع ذلك ، من المهم الإشارة إلى أن هذا لا يعني بالضرورة أن نموذج الاتصال 7 كان هو ناقل الهجوم الذي استغله المتسللون في هذه الحالات ، فقط لأنه ساهم في البيئة غير الآمنة بشكل عام.

كان TimThumb ثاني أكثر مكوِّن إضافي ضعيف في WordPress تم تحديده عند نقطة الإصابة وتم العثور عليه في 8.2٪ من جميع مواقع الويب المصابة.

بترتيب عدد مكونات WordPress الإضافية الضعيفة التي تم تحديدها ، إليك العشرة الأوائل:

1- نموذج الاتصال 7 (36.3٪)

2- TimThumb (8.2٪)

3- WooCommerce (7.8٪)

4- نماذج النينجا (6.1٪)

5- Yoast SEO (3.7٪)

6- اليمينتور (3.7٪)

7- مكتبة Freemius (3.7٪).

8- PageBuilder (2.7٪)

9- مدير الملفات (2.5٪)

10- كتلة WooCommerce (2.5٪)

تراوحت الأسعار الفردية من 50 دولارًا إلى 4800 دولارًا أمريكيًا لإزالة البرامج الضارة في WordPress ، ولكن لا توجد رسوم قياسية.

بشكل عام ، تكلف حماية موقع الويب الخاص بك من البرامج الضارة 8 دولارات فقط لكل موقع / شهر ، مما يجعله قرارًا سهلاً.

يحدث أكبر خرق للبيانات في العالم بسبب القرصنة 45٪ من الوقت

ما يقرب من 3.86 مليون دولار هو متوسط ​​سعر خرق البيانات ، ولكن بالطبع ، يمكن أن يختلف هذا وفقًا لحجم المنظمة والصناعة وما إلى ذلك.

يعتقد محترفو الويب الذين شملهم الاستطلاع أن هذه هي أهم تأثير لاختراق WordPress:

︎ ضياع الوقت 59.2٪

︎ خسارة في الدخل - 27.2٪

︎ فقدان ثقة العميل 26.4٪.

︎ خسارة في سمعة العلامة التجارية - 25.6٪

︎ لا اضطراب - 17.6٪