53 WordPress セキュリティ統計

WordPress ウェブサイトがハッキングされる正確な数は誰にもわかりませんが、1 日あたり少なくとも 13,000 と推定されています。 これは、1 分あたり約 9 回、1 か月あたり 390,000 回、1 年あたり 470 万回です。

ハッキングされた WordPress サイトは 4.3% でした。 ほぼ 25 の WordPress サイトのうち 1 つがハッキングされています。

毎日、30,000 以上の Web サイトがハッキングされています。

WordPress サイトの 10.4% が、古いプラグイン、テーマ、または WordPress のバージョンを使用しているため、ハッキングされるリスクにさらされていました。

その人気と広範な使用のおかげで、毎分約 90,000 件の攻撃が WordPress を介して行われています。

WordPress コンテンツ保護プラグインを使用するのが最善の方法です。

15 種類のプロテクターが含まれているため、WPShield コンテンツ プロテクターをお勧めします。

WordPress サイトの 8% が​​脆弱なパスワードまたは盗まれたパスワードによってハッキングされると推定されています。

Web サイトの所有者は、忘れないように簡単なパスワードを選択する必要があります。

WordPress サイトが十分に定期的に更新されていない場合、特に脆弱になります。 古いサイトが攻撃の 61% を引き起こしています。

偽物に見えるかもしれませんが、WordPress は常に攻撃を受けています。

Sucuri の年次ハッキング Web サイト レポートによると、WordPress は 2021 年に最も多くハッキングされた CMS でした。

Sucuri が検出した感染の 95.6% は WordPress サイトでした。

1- ワードプレス – 95.6%

2- ジュムラ – 2.03%

3- Drupal – 0.83%

4- マジェント – 0.71%

5- オープンカート – 0.35%

Sucuri が WordPress を利用したサイトでほとんどの感染を検出したからといって、WordPress 自体が本質的に脆弱であるとは限らないことに注意してください。

ワードプレス。

WordPress は最も人気のある CMS であるため、ハッカーは WordPress を標的にする可能性が高くなります。

2020 年には、970 万を超える一意の IP アドレスが脆弱性を悪用しようとしました。

私の意見では、統計は印象的ですが、さらに印象的なのは、すべてのエクスプロイトの 99.6% が Wordfence によって阻止され、残りのものは Web サイトの他のセキュリティ対策によって阻止されたことです.

安全でない、または盗まれたパスワードは、WordPress ハッキングの 81% を引き起こします。

ほとんどすべての攻撃は、Web サイトを改ざんすることを目的としており、その後、悪意のあるスクリプトを挿入しようとしました。

パスワードは、ハッカーがソフトウェアを使用して、ランダムなユーザー名とパスワードで自動的に Web サイトにログインするブルート フォース攻撃によって盗まれることが最も一般的です。

TimThumb と呼ばれるプラグインに脆弱性が見つかったため、2011 年には 1,800 万を超える WordPress サイトが侵害されました。

WordPress の TimThumb サムネイル作成プラグインには、SQL インジェクションの脆弱性がありました。

WordPress への攻撃の 97% は自動化されていると推定されています。

なんで？ それらは効率的で効果的だからです。

攻撃者は、所有者が修正する前に、自動攻撃を使用して Web サイトの欠陥を見つけるのは簡単です。 自動攻撃も安価です。

ハッカーは人間にお金を払う必要はありません。一度に数時間または数日にわたって脆弱性をスキャンするアプリケーションだけです。

WordPress 強化の推奨事項のトップは Sucuri によるもので、Sucuri は Web サイトの 84% が Web サイト アプリケーション ファイアウォールを持っていないことを発見しました。

ウェブサイトをハッキングから保護するには、WordPress セキュリティ プラグインの使用も不可欠です。

これらは、Sucuri が見つけた上位 5 つの強化の推奨事項です。

1- WAF の欠落 – 84%

2- X-Frame オプション – 83%

3- CSP なし – 82%

4- 厳格な輸送セキュリティ – 72%

5- HTTPS へのリダイレクトなし – 17%

WordPress サイトの 81% で、少なくとも 1 つのファイアウォール プラグインがインストールされています。

調査対象の WordPress 管理者の 64% が 2FA (2 要素認証) を使用していますが、36% は使用していません。

調査対象の WordPress 管理者の 65% がアクティビティ ログ プラグインを使用しています。

WordPress の管理者と Web サイトの所有者の 96% が WordPress のセキュリティを非常に重要と見なし、4% がやや重要と見なしていました。

管理者の 43% が WordPress のセキュリティに毎月 1 ～ 3 時間を費やしています

管理者の 35% が WordPress のセキュリティに毎月 3 時間以上費やしています

管理者の 22% が WordPress のセキュリティに費やす時間は 1 時間未満です。

調査回答者のほぼ 4 分の 3 が、WordPress コアとプラグインの更新が最も一般的なセキュリティ タスクであると述べています。

Web セキュリティの専門家がクライアントに対して実行する上位のタスクを以下に示します。

1- 75% CMS とプラグインの更新

2 ～ 67% のバックアップ サイト

3- 57% が SSL 証明書をインストール

4 ～ 56% が Web サイトを監視またはスキャンしてマルウェアを検出

5 ～ 38% がセキュリティの問題に関連するサイトを修正

6 ～ 34% のパッチの脆弱性

WordPress で自動更新を使用して自動的に更新することをお勧めしますが、少なくともすべてのプラグインとテーマを毎月更新することを強くお勧めします。

WordPress の更新に関する統計です。

毎週ウェブサイトを更新するサイト管理者の 1 ～ 35%

2 ～ 20% が毎日行っている

3～18% が毎月行っている

4 ～ 21% が自動更新システムを使用しているため、サイトを手動で更新する必要はありません

WordPress の更新とテストに関する主な統計:

→ 調査対象の WP 所有者と管理者の 52% が、WP ソフトウェア、プラグイン、およびテーマの自動更新を有効にしています。

→ 25% は常に最初にテスト環境またはステージング環境で更新をテストします

→ 32% 時々アップデートをテスト

→ 17% はアップデートをテストしない

→26% メジャーアップデートのみをテスト

WordPress プラグインの脆弱性が原因で、パナマ文書が 480 万通の電子メールを公開したことに驚かれるかもしれません。

回答者の 35% 以上がセキュリティ タスクに 1 か月あたり 1 時間未満しか費やしていませんが、22% は 3 時間以上費やしています。

成功したエクスプロイトを数えなくても、Wordfence のソフトウェアは 2020 年に 40 億回以上のエクスプロイト試行と 900 億回以上の悪意のあるログイン試行を防ぎました.

次のバージョン。

WordPress は常に最新バージョンをお勧めします。 この記事の執筆時点では、WordPress 6.1.0 が利用可能です。

WordPress は、セキュリティとメンテナンスのために毎年いくつかのアップデートがリリースされています。

古い W​​ordPress サイトの大半が感染しており、古い WordPress の実行と感染との関連はわずかであることが示されています。

最新バージョンの WordPress を使用すると、ハッカーがサイトを攻撃するリスクを最小限に抑えることができます。

マルウェアは、インシデント対応中に Sucuri が確認した最も一般的なタイプの WordPress ハッキングです。

Sucuri が見つけた上位の WordPress ハック

1- マルウェア 61.65%

2- バックドア – 60.04%

3- SEO スパム – 52.60%

4- ハックツール – 20.27%

5- フィッシング – 7.39%

6- 汚損 – 6.63%

7- メーラー – 5.92%

8- ドロッパー – 0.63%

約 10,000 のサイトの調査によると、ハッカーの約 29% が WordPress テーマの脆弱性によってハッキングされました。

推定によると、プロバイダーがホストするすべての Web サイトの 41% で脆弱性が悪用されています。

ホスティング会社は一度に数千のドメインを保持できるため、間違いが見つかった場合、数百の Web サイトが影響を受ける可能性があります.

38,281 の脆弱性

WordPress エコシステム内のすべてのセキュリティ脆弱性の 99.42% は、2021 年にテーマとプラグインで発見されました。これは、2020 年の 96.22% から増加しています。

さらに、脆弱性の 92.81% はプラグインが原因で、6.61% はテーマが原因でした。

WordPress サイトの 42% に、少なくとも 1 つの脆弱なコンポーネントがインストールされています。

プラグインの 91.38% が WordPress.org リポジトリから無料で入手できると推定されていますが、サードパーティのマーケットプレイスから入手できるのは 8.62% のみです。

2021 年の Patchstack のデータベースの脆弱性のほぼ半分 (50%) は、クロスサイト スクリプティングの脆弱性です。

最も一般的な WordPress の脆弱性:

1- クロス サイト スクリプティング (XSS) – 49.82.3%

2- その他の脆弱性の組み合わせ – 13.3%

3- クロスサイト リクエスト フォージェリ (CSRF) – 11.2%

4- SQL インジェクション (SQLi) – 6.8%

5- 任意のファイルのアップロード – 6.8%

6- 壊れた認証 – 2.8%

8- 7- 情報開示 – 2.4%

9- バイパスの脆弱性 – 1.1%

10 - 権限昇格 – 1.1%

合計すると、インターネット上のすべてのセキュリティ脆弱性の 84% が、クロスサイト スクリプティングまたは XSS 攻撃によって引き起こされています。

WordPress の脆弱性の 39% はクロスサイト スクリプティング (XSS) が原因

WordPress のすべての脆弱性の 52% は、古いプラグインが原因です。

これは、プラグインを更新することで、WordPress の問題の半分以上を解決できることを意味します。

過去にハッキングされていないからといって、将来もハッキングされないというわけではありません。プラグインを安全に保ちたい場合は、常に最新の状態に保つ必要があります。

偽の SEO プラグインは、4,000 以上の WordPress Web サイトに感染します。

WordPress の最大のセキュリティ脆弱性は、プラグインに起因します。

WPScan は、4,000 の既知の WordPress 脆弱性のうち 52% がプラグインによって引き起こされていると報告しましたが、WordPress コアでは 37%、テーマでは 11% です。

Contact Form 7 は、最も一般的に特定された脆弱な WordPress プラグインでした。 感染時点で、感染したすべての Web サイトの 36.3% で検出されました。

ただし、これは必ずしも Contact Form 7 がこれらの事例でハッカーが悪用した攻撃ベクトルであったことを意味するわけではなく、全体的な安全性の低い環境の一因となったことを意味するだけであることを指摘することが重要です。

TimThumb は、感染時点で 2 番目に一般的に特定された脆弱な WordPress プラグインであり、感染したすべての Web サイトの 8.2% で発見されました。

特定された脆弱な WordPress プラグインの数の順に、トップ 10 を以下に示します。

1- お問い合わせフォーム 7 (36.3%)

2- ティムサム (8.2%)

3- ウーコマース (7.8%)

4- 忍者フォーム (6.1%)

5- Yoast SEO (3.7%)

6- エレメンター (3.7%)

7- フリーミウス図書館 (3.7%)

8- ページビルダー (2.7%)

9- ファイルマネージャー (2.5%)

10- WooCommerce ブロック (2.5%)

WordPress マルウェア除去の個別料金は 50 ドルから 4,800 ドルですが、標準料金はありません。

通常、Web サイトをマルウェアから保護するための費用はサイトあたり月額わずか 8 ドルなので、簡単に決定できます。

世界最大のデータ侵害は、時間の 45% をハッキングが原因で発生します

データ侵害の平均価格は約 386 万ドルですが、もちろん、これは組織の規模や業界などによって異なります。

調査した Web 専門家によると、WordPress のハッキングによる最も重要な影響は次のとおりです。

︎ 時間のロス – 59.2%

︎ 収益の損失 – 27.2%

︎ クライアントの信頼を失う – 26.4%

︎ ブランドの評判の低下 – 25.6%

︎中断なし – 17.6%