53 WordPress-Sicherheitsstatistik

Niemand weiß genau, wie viele WordPress-Websites gehackt werden, aber unsere beste Schätzung liegt bei mindestens 13.000 pro Tag. Das sind etwa 9 pro Minute, 390.000 pro Monat und 4,7 Millionen pro Jahr.

4,3 % der WordPress-Seiten wurden gehackt. Fast 1 von 25 WordPress-Sites wurde gehackt.

Jeden Tag werden mehr als 30.000 Websites gehackt.

10,4 % der WordPress-Sites waren aufgrund der Verwendung veralteter Plugins, Themes oder WordPress-Versionen gefährdet, gehackt zu werden.

Dank seiner Popularität und weiten Verbreitung kommen jede Minute fast 90.000 Angriffe durch WordPress.

Die Verwendung eines WordPress-Inhaltsschutz-Plugins ist der beste Weg.

Wir empfehlen WPShield Content Protector, da es 15 verschiedene Protektoren enthält.

Es wird geschätzt, dass 8 % der WordPress-Sites durch schwache oder gestohlene Passwörter gehackt werden.

Websitebesitzer sollten ein einfaches Passwort wählen, damit sie es nicht vergessen, aber stellen Sie sicher, dass es schwierig genug ist, dass Sie es sich merken können und dass Hacker es nicht erraten können.

Wenn WordPress-Sites nicht regelmäßig genug aktualisiert werden, sind sie besonders anfällig. Veraltete Websites verursachen 61 % der Angriffe.

Es mag gefälscht erscheinen, aber WordPress wird ständig angegriffen.

Laut dem jährlichen Bericht über gehackte Websites von Sucuri war WordPress im Jahr 2021 das am häufigsten gehackte CMS.

95,6 % der von Sucuri entdeckten Infektionen fanden auf WordPress-Seiten statt.

1- WordPress – 95,6 %

2- Joomla – 2,03 %

3- Drupal – 0,83 %

4- Magento – 0,71 %

5- OpenCart – 0,35 %

Es ist erwähnenswert, dass nur weil Sucuri die meisten Infektionen auf WordPress-basierten Seiten entdeckt hat, dies nicht bedeutet, dass WordPress selbst von Natur aus anfällig ist.

WordPress.

Da WordPress das beliebteste CMS ist, zielen Hacker eher darauf ab.

Über 9,7 Millionen eindeutige IP-Adressen haben im Jahr 2020 versucht, Schwachstellen auszunutzen.

Die Statistiken sind meiner Meinung nach beeindruckend, aber noch beeindruckender ist, dass 99,6 % aller Exploits von Wordfence am Erfolg gehindert wurden und die restlichen durch andere Sicherheitsmaßnahmen auf der Website gestoppt wurden.

Unsichere oder gestohlene Passwörter verursachen 81 % der WordPress-Hacks.

Fast alle Angriffe zielten auf Websites zum Verunstalten ab und versuchten dann, bösartige Skripte einzuschleusen.

Passwörter werden am häufigsten durch Brute-Force-Angriffe gestohlen, bei denen Hacker Software verwenden, um sich automatisch mit zufälligen Benutzernamen und Passwörtern bei Websites anzumelden.

Über 18 Millionen WordPress-Sites wurden 2011 aufgrund einer Schwachstelle in einem Plugin namens TimThumb kompromittiert.

Das TimThumb-Plug-in zum Erstellen von Miniaturansichten für WordPress wies eine SQL-Injection-Schwachstelle auf.

Es wird geschätzt, dass 97 % der WordPress-Angriffe automatisiert sind.

Warum? Weil sie effizient und effektiv sind.

Für Angreifer ist es einfach, automatische Angriffe zu verwenden, um Fehler in einer Website zu finden, bevor ihre Besitzer sie beheben können. Automatisierte Angriffe sind auch billig.

Hacker müssen nicht für Menschen bezahlen, sondern nur für Anwendungen, die stunden- oder tagelang nach Schwachstellen suchen.

Die Top-Empfehlung zur WordPress-Härtung kommt von Sucuri, der herausfand, dass 84 % der Websites keine Website Application Firewall haben.

Die Verwendung eines WordPress-Sicherheits-Plugins ist auch wichtig, um Websites vor Hackerangriffen zu schützen.

Dies sind die Top 5 Härtungsempfehlungen, die Sucuri gefunden hat:

1- Fehlende WAF – 84 %

2- X-Frame-Optionen – 83 %

3- Kein CSP – 82 %

4- Strenge Transportsicherheit – 72 %

5- Keine Umleitung auf HTTPS – 17 %

Mindestens ein Firewall-Plugin wird von 81 % der WordPress-Sites installiert.

64 % der befragten WordPress-Administratoren verwenden 2FA (Zwei-Faktor-Authentifizierung), während 36 % dies nicht tun.

65 % der befragten WordPress-Administratoren verwenden Aktivitätsprotokoll-Plugins.

Es gab 96 % der WordPress-Administratoren und Website-Eigentümer, die die WordPress-Sicherheit als sehr wichtig und 4 % als ziemlich wichtig betrachteten.

43 % der Administratoren verbringen 1-3 Stunden pro Monat mit der WordPress-Sicherheit

35 % der Administratoren verbringen über 3 Stunden pro Monat mit der WordPress-Sicherheit

22 % der Administratoren verbringen weniger als 1 Stunde mit der WordPress-Sicherheit.

Fast drei Viertel aller Umfrageteilnehmer gaben an, dass die Aktualisierung des WordPress-Kerns und der Plugins ihre häufigste Sicherheitsaufgabe ist.

Die wichtigsten Aufgaben, die Web-Sicherheitsexperten für ihre Kunden ausführen, sind hier aufgelistet:

1- 75 % aktualisieren CMS und Plugins

2- 67 % Backup-Sites

3- 57 % installieren SSL-Zertifikate

4- 56 % überwachen oder scannen Websites auf Malware

5- 38 % beheben Websites mit Sicherheitsproblemen

6- 34 % Patch-Schwachstellen

Es wird empfohlen, die automatische Aktualisierung auf WordPress zu verwenden, um automatisch aktualisiert zu werden, aber es wird sehr empfohlen, alle Plugins und Themes mindestens monatlich zu aktualisieren.

Es ist eine Statistik über die Aktualisierung von WordPress:

1- 35 Prozent der Site-Manager, die ihre Websites wöchentlich aktualisieren

2-20 Prozent, die es jeden Tag tun

3-18 Prozent, die es jeden Monat tun

4-21 % verwenden ein automatisches Aktualisierungssystem, sodass sie ihre Websites nicht manuell aktualisieren müssen

Wichtige Statistiken zu WordPress-Updates und -Tests:

→ 52 % der befragten WP-Besitzer und -Administratoren haben automatische Updates für WP-Software, Plugins und Themes aktiviert.

→ 25 % testen Updates immer zuerst in einer Test- oder Staging-Umgebung

→ 32 % testen manchmal Updates

→ 17 % testen nie Updates

→ 26 % testen nur größere Updates

Es mag Sie überraschen, dass das Leak der Panama Papers 4,8 Millionen E-Mails aufgrund einer Schwachstelle in einem WordPress-Plugin offengelegt hat.

Mehr als 35 % der Befragten verbringen weniger als eine Stunde pro Monat mit Sicherheitsaufgaben, während 22 % mehr als drei Stunden damit verbringen.

Ohne die erfolgreichen Exploits zu zählen, hat die Software von Wordfence im Jahr 2020 über 4 Milliarden Exploit-Versuche und über 90 Milliarden böswillige Anmeldeversuche verhindert.

Nächste Version.

Die neueste Version von WordPress wird immer empfohlen. Zum Zeitpunkt der Erstellung dieses Artikels ist WordPress 6.1.0 verfügbar.

Aus Sicherheits- und Wartungsgründen werden jedes Jahr mehrere Updates für WordPress veröffentlicht.

Es gab eine Mehrheit veralteter WordPress-Sites, die infiziert waren, was zeigt, dass das Ausführen von veraltetem WordPress nur in gewissem Maße mit einer Infektion verbunden ist

Die Verwendung der neuesten Version von WordPress minimiert das Risiko, dass Hacker Ihre Website angreifen.

Malware ist die häufigste Art von WordPress-Hacks, die Sucuri bei der Reaktion auf Vorfälle beobachtet.

Die besten WordPress-Hacks, die von Sucuri gefunden wurden

1- Malware 61,65 %

2- Hintertür – 60,04 %

3- SEO-Spam – 52,60 %

4- Hacktool – 20,27 %

5- Phishing – 7,39 %

6- Defacements – 6,63 %

7- Mailer – 5,92 %

8- Tropfer – 0,63 %

Laut einer Umfrage unter etwa 10.000 Websites wurden etwa 29 % der Hacker durch eine Schwachstelle in ihrem WordPress-Theme gehackt.

Schätzungen zufolge wurden auf 41 % aller von ihrem Anbieter gehosteten Websites Sicherheitslücken ausgenutzt.

Da Hosting-Unternehmen Tausende von Domains gleichzeitig besitzen können, könnten Hunderte von Websites betroffen sein, wenn ein Fehler gefunden wird.

38.281 Schwachstellen

99,42 % aller Sicherheitslücken im WordPress-Ökosystem wurden im Jahr 2021 in Themes und Plugins gefunden. Das ist ein Anstieg von 96,22 % im Jahr 2020.

Darüber hinaus waren 92,81 % der Schwachstellen auf Plugins zurückzuführen, während 6,61 % auf Themen zurückzuführen waren.

42 % der WordPress-Sites haben mindestens eine anfällige Komponente installiert.

Es wird geschätzt, dass 91,38 % der Plugins kostenlos über das WordPress.org-Repository verfügbar sind, während nur 8,62 % über Marktplätze von Drittanbietern verfügbar sind.

Fast die Hälfte (50 %) der Schwachstellen in der Patchstack-Datenbank im Jahr 2021 sind Cross-Site-Scripting-Schwachstellen.

Die häufigsten WordPress-Schwachstellen:

1- Cross Site Scripting (XSS) – 49,82,3 %

2- Andere Arten von Schwachstellen kombiniert – 13,3 %

3- Cross-Site Request Forgery (CSRF) – 11,2 %

4- SQL-Injection (SQLi) – 6,8 %

5- Willkürlicher Datei-Upload – 6,8 %

6- Defekte Authentifizierung – 2,8 %

8- 7- Offenlegung von Informationen – 2,4 %

9- Schwachstelle umgehen – 1,1 %

10 – Privilegienausweitung – 1,1 %

Insgesamt werden 84 % aller Sicherheitslücken im Internet durch Cross-Site-Scripting oder XSS-Angriffe verursacht.

39 % der WordPress-Schwachstellen sind auf Cross-Site-Scripting (XSS) zurückzuführen.

52 % aller WordPress-Schwachstellen sind auf veraltete Plugins zurückzuführen.

Das bedeutet, dass du mehr als die Hälfte deiner WordPress-Probleme lösen kannst, indem du deine Plugins aktualisierst.

Nur weil sie in der Vergangenheit nicht gehackt wurden, bedeutet das nicht, dass sie auch in Zukunft nicht gehackt werden, daher sollten Sie Ihre Plugins immer auf dem neuesten Stand halten, wenn Sie sie schützen möchten.

Gefälschte SEO-Plugins infizieren über 4.000 WordPress-Websites.

Die größte Sicherheitslücke von WordPress kommt von Plugins.

WPScan berichtete, dass 52 % der 4.000 bekannten WordPress-Schwachstellen von Plugins verursacht werden, verglichen mit 37 % vom WordPress-Kern und 11 % von Themen.

Contact Form 7 war das am häufigsten identifizierte anfällige WordPress-Plugin. Es wurde zum Zeitpunkt der Infektion auf 36,3 % aller infizierten Websites gefunden.

Es ist jedoch wichtig darauf hinzuweisen, dass dies nicht unbedingt bedeutet, dass Contact Form 7 der Angriffsvektor war, den die Hacker in diesen Fällen ausnutzten, sondern nur, dass es zu der insgesamt unsicheren Umgebung beigetragen hat.

TimThumb war zum Zeitpunkt der Infektion das am zweithäufigsten identifizierte anfällige WordPress-Plugin und wurde auf 8,2 % aller infizierten Websites gefunden.

In der Reihenfolge der Anzahl der identifizierten anfälligen WordPress-Plugins sind hier die Top Ten:

1- Kontaktformular 7 (36,3 %)

2- TimDaumen (8,2%)

3- WooCommerce (7,8 %)

4- Ninja-Formen (6,1 %)

5- Yoast-SEO (3,7 %)

6- Elementor (3,7 %)

7- Freemius-Bibliothek (3,7 %)

8- PageBuilder (2,7 %)

9- Dateimanager (2,5 %)

10- WooCommerce-Block (2,5 %)

Die Einzelpreise für die Entfernung von WordPress-Malware liegen zwischen 50 und 4.800 US-Dollar, es gibt jedoch keine Standardgebühr.

Im Allgemeinen kostet der Schutz Ihrer Website vor Malware nur 8 US-Dollar pro Website und Monat, was die Entscheidung leicht macht.

Die weltweit größte Datenschutzverletzung erfolgt in 45 % der Fälle durch Hackerangriffe

Etwa 3,86 Millionen US-Dollar ist der durchschnittliche Preis für eine Datenschutzverletzung, aber natürlich kann dies je nach Größe der Organisation, Branche usw. variieren.

Die befragten Webprofis sind der Meinung, dass dies die wichtigsten Auswirkungen eines WordPress-Hacks sind:

▶ Zeitverlust – 59,2 %

︎ Einnahmeverlust – 27,2 %

︎ Verlust des Kundenvertrauens – 26,4 %

︎ Verlust des Markenrufs – 25,6 %

︎ Keine Unterbrechung – 17,6 %