WordPress のハッキング統計 (ハッキングされた Web サイトの数は?)
公開: 2022-09-23ハッキングされた WordPress ウェブサイトの数を知りたいですか? それなら、WordPress のハッキング統計を見逃す手はありません!
WordPress は、世界で最も人気のある CMS です。 他のどのソフトウェアよりも多くの Web サイトを強化します。 しかし残念なことに、その人気はハッカーにとって最も一般的な標的の 1 つにもなっています。
毎年、何百万もの WordPress Web サイトがサイバー攻撃の犠牲になっています。 そのグループに参加したくない場合は、情報を入手しておくと役立ちます。
そのことを念頭に置いて、今年はウェブサイトの所有者と管理者が知っておく必要がある 50 以上の WordPress ハッキング統計を共有します.
以下の統計は、2022 年の WordPress セキュリティの現状について詳しく知るのに役立ちます。ハッカーが悪用する最も一般的な Web サイトの脆弱性を明らかにし、Web サイトの安全性とセキュリティを維持するのに役立ついくつかのベスト プラクティスを強調します。
準備? 始めましょう!
ハッキングされるWordPress Webサイトはいくつありますか?
WordPress ウェブサイトがハッキングされる正確な数は誰にもわかりませんが、1 日あたり少なくとも 13,000 と推定されています。 これは、1 分あたり約 9 回、1 か月あたり 390,000 回、1 年あたり 470 万回です。
Sophos が毎日 30,000 を超える Web サイトがハッキングされており、すべての Web サイトの 43% が WordPress で構築されていると報告しているという事実に基づいて、この推定値を導き出しました。
WordPress ウェブサイトの何パーセントがハッキングされていますか?
Sucuri によると、2021 年に SiteCheck (人気のある Web サイト セキュリティ スキャナー) でスキャンされた WordPress Web サイトの 4.3% がハッキング (感染) されていました。 これは、約 25 の Web サイトごとに 1 つです。
すべての WordPress Web サイトが SiteCheck を使用しているわけではありませんが、ハッキングされる WordPress Web サイト全体の割合を示す良い指標です。
Sucuri はまた、WordPress Web サイトの 10.4% が古いソフトウェアを実行しているため、ハッキングされるリスクがあることも発見しました。
最も一般的にハッキングされている CMS プラットフォームは何ですか?
Sucuri の年次ハッキング Web サイト レポートによると、WordPress は 2021 年に最も一般的にハッキングされた CMS (コンテンツ管理システム) でした。 Sucuri によって検出された感染の 95.6% 以上は、WordPress を実行している Web サイトでした。
最もハッキングされた CMS トップ 5:
- ワードプレス – 95.6%
- ジュムラ – 2.03%
- Drupal – 0.83%
- マジェント – 0.71%
- オープンカート – 0.35%
ただし、Sucuri によって検出されたほとんどの感染が WordPress を実行する Web サイトであったという事実は、WordPress のコア ソフトウェアに本質的な脆弱性があることを必ずしも意味しないことに注意してください。
それどころか、WordPress が最も一般的に使用されている CMS であり、WordPress ユーザーは他の CMS ソフトウェアのユーザーよりも Sucuri のようなプラグインを使用する可能性が高いという事実を単に反映している可能性が高くなります.
ソース: Sophos、Colorlib、Sucuri 1
最も一般的なWordPressのハッキングは何ですか?
マルウェアは、インシデント対応中に Sucuri が確認した最も一般的なタイプの WordPress ハッキングです。 合計で、Sucuri によって検出された感染の 61.65% がマルウェアに分類されました。 その他の一般的な感染には、バックドア ハッキング、SEO スパム、ハックツール、フィッシング ハッキングなどがあります。
Sucuri が見つけた上位の WordPress ハック
- マルウェア 61.65%
- バックドア – 60.04%
- SEO スパム – 52.60%
- ハックツール – 20.27%
- フィッシング – 7.39%
- 汚損 – 6.63%
- メーラー – 5.92%
- ドロッパー – 0.63%
マルウェア
マルウェアは、Sucuri が発見した最も一般的なタイプの WordPress ハッキングです。 これは、WordPress Web サイトに損害を与えたり悪用したりするためにサイバー犯罪者が使用するあらゆる種類の悪意のあるソフトウェアを指す、広く包括的な用語です。 最も一般的なタイプのマルウェアは PHP マルウェアです。
マルウェアは、バックドアや SEO スパムとは異なり、サイト訪問者を何らかの悪意のある行為の危険にさらすことが多いため、最も有害なタイプのセキュリティ感染の 1 つです。
たとえば、マルウェアの一般的な例の 1 つは、SiteURL/HomeURL の感染です。これは、ログインの詳細を盗むために、訪問者を悪意のあるドメインまたは詐欺ドメインにリダイレクトするコードでサイトを感染させることを含みます。
もう 1 つの例は、クレジット カード スキミングです。これは、ハッカーが悪意のあるコードを e コマース Web サイトに挿入して、訪問者のクレジット カードやデビット カードの情報を盗む Web ベースの攻撃です。 興味深いことに、統計によると、クレジット カード スキマーに感染した Web サイトの 34.5% が WordPress で実行されています。
バックドア
バックドアは、Sucuri が発見した 2 番目に一般的な WordPress ハッキングです。 名前が示すように、これらのタイプの感染により、ハッカーは通常のログイン チャネルをバイパスして、秘密の「バックドア」を介して Web サイトのバックエンドにアクセスし、環境を侵害することができます。
SEOスパム
SEO スパムは、Sucuri が発見した 3 番目に一般的なハッキングであり、すべての感染の半分以上に存在します。
このタイプのハッキングには、検索エンジンの最適化を改善し、リダイレクトを設定し、スパム投稿を公開し、リンクを挿入することにより、トラフィックをサード パーティの Web サイトに誘導するために、サイトに感染することが含まれます。
一方で、これはドメインの SEO スコアに悪影響を及ぼし、Google などの検索エンジンでのオーガニック ランキングの順位に悪影響を及ぼす可能性があります。
主な統計:
- SEO スパム感染の 32.2% はスパム インジェクターに関連しており、SEO 目的で、侵害された環境に隠しスパム リンクを追加します。
- 他のタイプは、SEO の目的で大量のブログを投稿しますが、通常はスパムのトピックに関するものです。
- SEO スパム感染の 28% は医薬品 (バイアグラ、シアリスなど) に関連しています。
- 22% は日本の SEO スパムに関連していました (これらのキャンペーンは、被害者の Web サイトの検索結果を模造品で汚染し、日本語のテキストで SERP に表示されます。
- リダイレクト キャンペーンは、ほとんどの場合、.ga および .ta トップレベル ドメインを指します。
ソース:スクリ1
WordPress のセキュリティの脆弱性
次に、ハッカーが最も頻繁に悪用するセキュリティの脆弱性について詳しく説明する WordPress の統計を見てみましょう。
WordPress の最大のセキュリティ脆弱性は何ですか?
テーマとプラグインは、WordPress の最大のセキュリティ脆弱性です。 WordPress エコシステムのすべてのセキュリティ脆弱性の 99.42% は、2021 年にはこれらのコンポーネントに起因していました。これは、2020 年の 96.22% から増加しています。
もう少し詳しく説明すると、脆弱性の 92.81% はプラグインに起因し、6.61% はテーマに起因しています。
脆弱な WordPress プラグインのうち、91.38% は WordPress.org リポジトリから入手できる無料のプラグインで、わずか 8.62% が Envato のようなサードパーティのマーケットプレイスで販売されているプレミアム プラグインでした。
主な統計:
- WordPress サイトの 42% に、少なくとも 1 つの脆弱なコンポーネントがインストールされています。
- 興味深いことに、Patchstack によって検出されたセキュリティ脆弱性のわずか 0.58% が、コアの WordPress ソフトウェアに由来していました。
タイプ別上位の WordPress 脆弱性
クロスサイト スクリプティングの脆弱性 (CSS) は、2021 年に Patchstack のデータベースに追加されたすべての脆弱性のほぼ半分 (~50%) を占めています。これは、2020 年の 36% から増加しています。
データベースのその他の一般的な脆弱性には、次のものがあります。
- その他の脆弱性の組み合わせ – 13.3%
- クロスサイト リクエスト フォージェリ (CSRF) – 11.2%
- SQL インジェクション (SQLi) – 6.8%
- 任意のファイルのアップロード – 6.8%
- 壊れた認証 – 2.8%
- 情報開示 – 2.4%
- バイパスの脆弱性 – 1.1%
- 権限昇格 – 1.1%
- リモート コード実行 (RCE) – 0.9%
重大度別上位の WordPress 脆弱性
Patchstack は、データベース内の各脆弱性をその重大度に従ってランク付けします。 そのために、CVSS システム (Common Vulnerability Scoring System) を使用します。このシステムは、重大度に基づいて各脆弱性に 0 から 10 の数値を割り当てます。
昨年 Patchstack によって特定された WordPress の脆弱性のほとんどは、4 ~ 6.9 の間の CVSS スコアを受け取り、重大度が「中」になりました。
- 特定された脆弱性の 3.4% は重大な重大度 (9-10 CVSS スコア) でした
- 特定された脆弱性の 17.9% は重大度が高 (7 ~ 8.9 CVSS スコア) でした
- 特定された脆弱性の 76.8% は重大度が中 (CVSS スコア 4 ~ 6.9) でした
- 特定された脆弱性の 1.9% は重大度低 (0.1-3.9 CVSS スコア) でした
攻撃された上位の脆弱性
Patchstack のデータベースで「攻撃された」上位 4 つの脆弱性は次のとおりです。
- OptinMonster (バージョン 2.7.4 以前) – 保護されていない REST-API から機密情報の漏えいおよび未承認の API アクセス
- PublishPress 機能 (バージョン 2.3 以前) – 認証されていない設定の変更
- Booster for WooCommerce (バージョン 5.4.3 以前) – 認証バイパス
- Image Hover Effects Ultimate (バージョン 9.6.1 以前) – 認証されていない任意のオプションの更新
ソース: Sucuri 1 、パッチスタック
WordPress プラグインのハッキング統計
前述したように、WordPress プラグインは、ハッカーが Web サイトに侵入または侵害することを可能にするセキュリティ脆弱性の最も一般的な原因です. 次に、WordPress プラグインに関連する WordPress ハッキングの統計を見ていきます。
ご存じないかもしれませんが、プラグインとは、WordPress サイトにインストールしてアクティブにして機能を拡張できる小さなサードパーティ ソフトウェア アプリケーションです。
WordPress プラグインの脆弱性はいくつありますか?
2021 年には、WordPress プラグインで 35 の重大な脆弱性が見つかりました。心配なことに、これらのうちの 2 つは、100 万回以上インストールされたプラグインにありました: All in One SEO と WP Fastest Cache.
幸いなことに、上記の脆弱性は両方とも、プラグインの開発者によってすぐに修正されました。 ただし、重大な脆弱性があることが判明した WordPress プラグインの総数の 29% は、パッチを受け取っていませんでした。
最も脆弱な WordPress プラグインは何ですか?
Contact Form 7 は、最も一般的に特定された脆弱な WordPress プラグインでした。 感染時点で、感染したすべての Web サイトの 36.3% で検出されました。
ただし、これは必ずしも Contact Form 7 がこれらの事例でハッカーが悪用した攻撃ベクトルであったことを意味するわけではなく、全体的な安全性の低い環境の一因となったことを意味するだけであることを指摘することが重要です。
TimThumb は、感染時点で 2 番目に一般的に特定された脆弱な WordPress プラグインであり、感染したすべての Web サイトの 8.2% で発見されました。 TimThumb の脆弱性が 10 年以上前のものであることを考えると、これは特に驚くべきことです。
特定された上位 10 の脆弱な WordPress プラグイン:
| 上位の脆弱な WordPress コンポーネント | パーセンテージ |
|---|---|
| 1.お問い合わせフォーム7 | 36.3% |
| 2. TimThumb (テーマとプラグインで使用される画像サイズ変更スクリプト) | 8.2% |
| 3.ウーコマース | 7.8% |
| 4.忍者フォーム | 6.1% |
| 5.ヨーストSEO | 3.7% |
| 6.エレメンター | 3.7% |
| 7. フリーミウス図書館 | 3.7% |
| 8. ページビルダー | 2.7% |
| 9.ファイルマネージャー | 2.5% |
| 10. WooCommerce ブロック | 2.5% |
WordPress プラグインはいくつ必要ですか?
ベスト プラクティスでは、Web サイトの所有者と管理者は、WordPress プラグインをできるだけ少なくすることをお勧めします。 プラグインの数が少ないほど、脆弱性に遭遇するリスクが低くなります。
平均的な WordPress サイトには、18 の異なるプラグインとテーマがインストールされています。 これは昨年より 5 人少なく、表面的には正しい方向に進んでいるように見えます。
ただし、これらのプラグインとテーマの多くは、昨年と比較して今年は古くなっていることがわかりました. 平均して、Web サイトにインストールされている 18 のプラグインのうち 6 つが古くなっており、昨年は 23 のうち 4 つに過ぎませんでした。
最も人気のある WordPress セキュリティプラグインは何ですか?
Jetpack は、WordPress プラグイン ディレクトリで最も人気のある WordPress セキュリティ プラグインであり、ダウンロード数は 500 万回を超えています。 ただし、Jetpack が真のセキュリティ プラグインとして分類できるかどうかは議論の余地があります。
2FA、マルウェア検出、ブルート フォース保護などのセキュリティ機能が含まれていますが、速度の最適化、分析、設計ツールなどの他の機能も含まれています. これにより、セキュリティ プラグインというよりもオールインワン プラグインになります。
専用のセキュリティ プラグインに関する限り、Wordfence が最も人気があり、WordPress プラグイン データベースで 400 万回ダウンロードされています。
WordPress テーマの脆弱性
Patchstack によって特定された WordPress テーマの脆弱性の 12.4% は、重大な CVSS スコア (9.0 – 10.0) を持っていました。 そして心配なことに、10 のテーマには CVSS 10.0 のセキュリティ リスクがあり、認証されていない任意のファイルのアップロードとオプションの削除によって、ユーザーのサイト全体が危険にさらされました。
ソース: パッチスタック、WordPress 1 、WordPress 2
WordPress ウェブサイトをハッキングから守るにはどうすればよいでしょうか?
プラグインとテーマの使用を減らし、すべてのソフトウェアを頻繁に更新し、特定された脆弱性にパッチを当てるようにし、WordPress を強化することで、WordPress Web サイトをハッキングから保護できます。
WordPress ウェブサイトのセキュリティを強化することについて、より多くのことを明らかにするいくつかの統計があります。
最も一般的な WordPress 強化の推奨事項
Sucuri のデータによると、Web サイトの 84% 以上が Web サイト アプリケーション ファイアウォール (WAF) を備えておらず、これが WordPress の強化に関する推奨事項のトップとなっています。
WAF は、既知の脆弱性に仮想的にパッチを適用し、DDoS 攻撃、コメント スパム、悪意のあるボットからサイトを保護するのに役立ちます。
Web サイトの 83% には、X-Frame-Options (クリックジャッキングからユーザーを保護し、iframe を介してハッカーが Web サイトを別の Web サイトに埋め込むことを防止することにより、セキュリティの向上に役立つセキュリティ ヘッダー) がないことも判明しました。 これにより、X-Frame-Options が 2 番目に一般的な強化の推奨事項になります。
Sucuri によって検出された最も一般的な強化の推奨事項上位 5 つ:
- WAF の欠落 – 84%
- X フレーム オプション – 83%
- CSP なし – 82%
- 厳格な輸送セキュリティ – 72%
- HTTPS へのリダイレクトなし – 17%
ウェブサイト管理者はどのようにサイトを保護していますか?
ウェブサイトの管理者と所有者を対象とした調査によると、82% がセキュリティ強化を行っています。これは、WordPress サイトをハッキングされにくくするための措置を講じることを意味します。
それらのうち、27% がプラグインを使用してサイトを強化し、25% が手動で強化し、30% が両方を組み合わせて使用しました。 硬化をまったく行わなかったのは 18% のみでした。
主な統計:
- 調査対象の WordPress 管理者の 81% が、少なくとも 1 つのファイアウォール プラグインをインストールしています
- 調査対象の WordPress 管理者の 64% が 2FA (2 要素認証) を使用しており、36% は使用していません。
- 調査対象の WordPress 管理者の 65% がアクティビティ ログ プラグインを使用しています。
- 調査対象の WordPress 管理者と Web サイト所有者の 96% が、WordPress のセキュリティを非常に重要だと考えています。 そして 4% はある程度重要だと考えています
- 管理者の 43% が WordPress のセキュリティに毎月 1 ~ 3 時間を費やしています
- 管理者の 35% が WordPress のセキュリティに毎月 3 時間以上費やしています
- 管理者の 22% が WordPress のセキュリティに費やす時間は 1 時間未満です。
Web プロフェッショナルはクライアントのサイトをどのように保護していますか?
最近の調査によると、クライアントと連携するすべての Web プロフェッショナルのほぼ半数が、クライアントの Web サイトを保護するためにプレミアム セキュリティ プラグインに依存しています。
Web プロフェッショナルがクライアント サイトを保護するために使用する主な方法:
- プレミアム セキュリティ プラグインの 45.6% の支払い
- 42.4% が無料のセキュリティ プラグインを使用
- 31.2% がプロのセキュリティ プロバイダーに支払います
- 28.8% がセキュリティ問題を社内で処理
- 24.8% がクライアントをプロのセキュリティ プロバイダーに紹介
- 10.4%が他の方法を使用
- 6.4% がクライアントに無料のプラグインを使用するよう伝えています
- 5.6% は Web サイトのセキュリティに関する計画を持っていません
Web プロフェッショナルが実行する主なセキュリティ タスク
WordPress (またはクライアントが使用する CMS) とプラグインの更新は、Web プロフェッショナルが実行する最も一般的なセキュリティ タスクであり、調査回答者の 4 分の 3 がこれを行っていると答えています。
Web セキュリティの専門家がクライアントのために実行する主なタスク:
- 75% が CMS とプラグインを更新
- 67% のバックアップ サイト
- 57% が SSL 証明書をインストール
- 56% が Web サイトを監視またはスキャンしてマルウェアを検出
- 38% がセキュリティ問題に関連するサイトを修正
- 34% パッチの脆弱性
WordPress サイトをどのくらいの頻度で更新する必要がありますか?
前述したように、WordPress Web サイトを最新の状態に保つことは、セキュリティの観点から非常に重要です。
ほとんどのサイト管理者は毎週 (35%) Web サイトを更新しますが、20% は毎日、18% は毎月更新しています。 サイト管理者の 21% が何らかの自動更新を構成しているため、手動で更新する必要はありません。
主な統計:
- 調査対象の WP 所有者と管理者の 52% が、WP ソフトウェア、プラグイン、およびテーマの自動更新を有効にしています。
- 25% は常に最初にテスト環境またはステージング環境で更新をテストします
- 32% 時々アップデートをテスト
- 17% はアップデートをテストしない
- 26% はメジャー アップデートのみをテスト
ソース: Sucuri 2 、Sucuri 3 、WP ホワイト セキュリティ
WordPressハッキングのコスト
ハッキングされると、企業は少額の損失を被る可能性があります。 マルウェアを専門的に削除するには、平均で 613 ドルかかりますが、深刻なデータ侵害から回復するには、さらに数千ドル、場合によっては数百万ドルの費用がかかる可能性があります。
金銭的なコストは別として、WordPress のハッキングは、収益に影響を与え、ブランドの評判を損なうことで、企業のコストに間接的に影響を与える可能性があります。
ハッキングされた WordPress Web サイトを修正するには、どれくらいの費用がかかりますか?
WordPress マルウェアの除去にかかる平均コストは 613 ドルですが、ケースによって大きく異なります。 個々の価格は、50 ドルから 4,800 ドルまでの範囲でした。
それに比べて、サイトをマルウェアから保護するための Web サイト セキュリティの料金は、1 サイトあたり月額平均わずか 8 ドルであり、ほとんどのサイト所有者にとって非常に簡単です。
データ侵害は企業にどのくらいの損害を与えますか?
ハッキングは、世界中のデータ侵害の 45% に関与しています。 また、平均して、データ侵害の平均コストは 386 万ドルです。 もちろん、これは組織の規模や業界などによって異なります。
WordPressハッキングの最大の影響は何ですか?
調査対象の Web 専門家によると、クライアントのビジネスに対するハッキングの最大の影響は、時間の損失 (59.2%) でした。 その他の悪影響には次のようなものがあります。
- 収益の損失 – 27.2%
- クライアントの信頼の喪失 – 26.4%
- ブランドの評判の低下 – 25.6%
- 中断なし – 17.6%
ソース: Patchstack、Statista、Sucuri 3
WordPress の最も安全なバージョンは何ですか?
WordPress の最も安全なバージョンは常に最新バージョンです。 これを書いている時点では、これは WordPress 6.0.2 です。
WordPress はどのくらいの頻度でセキュリティ更新をリリースしますか?
WordPress は通常、毎年いくつかのセキュリティとメンテナンスの更新をリリースします。 2021 年には 4 件ありました。最新のセキュリティ リリース (執筆時点) は WordPress 6.0.2 で、XSS 脆弱性、出力エスケープの問題、SQL インジェクションの可能性という 3 つのセキュリティ問題が修正されました。
古いバージョンの WordPress は簡単にハッキングされますか?
WordPress Web サイトの 50.3% のみが、感染時に古くなっていることが判明しました。これは、古いバージョンの WordPress ソフトウェアを実行していることと、感染との間に大まかな相関関係があることを示唆しています。 それにもかかわらず、ハッキングされるリスクを最小限に抑えるために、常に最新バージョンの WordPress を使用することをお勧めします。
出典: Sucuri 1 , WordPress 3
最終的な考え
以上で、2022 年の最も重要な WordPress ハッキング統計のまとめを終わります。このデータがお役に立てば幸いです。
WordPress についてさらに詳しく知りたい場合は、WordPress 統計のまとめをご覧ください。
2022 年に WordPress のセキュリティを改善する方法に関する詳細ガイドを読むことで、ハッカーからサイトを保護する方法についても学ぶことができます.
幸運を!