53 Estadísticas de seguridad de WordPress

Nadie sabe exactamente cuántos sitios web de WordPress son pirateados, pero nuestra mejor estimación es de al menos 13 000 por día. Eso es alrededor de 9 por minuto, 390.000 por mes y 4,7 millones por año.

Hubo un 4,3% de los sitios de WordPress que fueron pirateados. Casi 1 de cada 25 sitios de WordPress ha sido pirateado.

Todos los días, se piratean más de 30.000 sitios web.

El 10,4% de los sitios de WordPress corrían el riesgo de ser pirateados debido al uso de complementos, temas o versiones de WordPress obsoletos.

Gracias a su popularidad y uso generalizado, WordPress recibe casi 90.000 ataques cada minuto.

Usar un complemento de protección de contenido de WordPress es la mejor manera.

Recomendamos WPShield Content Protector debido a los 15 protectores diferentes que incluye.

Se estima que el 8% de los sitios de WordPress son pirateados por contraseñas débiles o robadas.

Los propietarios de sitios web deben elegir una contraseña simple para que no la olviden, pero asegúrese de que sea lo suficientemente difícil como para que pueda recordarla y que los piratas informáticos no puedan adivinarla.

Cuando los sitios de WordPress no se actualizan con la suficiente regularidad, son especialmente vulnerables. Los sitios obsoletos causan el 61% de los ataques.

Puede parecer falso, pero WordPress está siendo atacado todo el tiempo.

Según el informe anual de sitios web pirateados de Sucuri, WordPress fue el CMS más comúnmente pirateado en 2021.

El 95,6% de las infecciones detectadas por Sucuri estaban en sitios de WordPress.

1- WordPress – 95,6%

2- Joomla – 2.03%

3- Drupal – 0,83%

4- Magento – 0,71%

5- OpenCart – 0.35%

Vale la pena señalar que el hecho de que Sucuri haya detectado la mayoría de las infecciones en los sitios impulsados ​​por WordPress no significa que WordPress en sí mismo sea inherentemente vulnerable.

WordPress.

Debido a que WordPress es el CMS más popular, es más probable que los piratas informáticos se dirijan a él.

Más de 9,7 millones de direcciones IP únicas intentaron explotar vulnerabilidades en 2020.

Las estadísticas son impresionantes, en mi opinión, pero lo que es aún más impresionante es que Wordfence evitó que el 99,6% de todos los exploits tuvieran éxito, y los restantes fueron detenidos por otras medidas de seguridad en el sitio web.

Las contraseñas inseguras o robadas causan el 81% de los hackeos de WordPress.

Casi todos los ataques se dirigieron a sitios web para desfigurar y luego intentaron inyectar scripts maliciosos.

Las contraseñas se roban más comúnmente a través de ataques de fuerza bruta, donde los piratas informáticos usan software para iniciar sesión en sitios web con nombres de usuario y contraseñas aleatorias automáticamente.

Más de 18 millones de sitios de WordPress se vieron comprometidos en 2011 debido a una vulnerabilidad encontrada en un complemento llamado TimThumb.

El complemento de creación de miniaturas TimThumb para WordPress tenía una vulnerabilidad de inyección SQL.

Se estima que el 97% de los ataques a WordPress están automatizados.

¿Por qué? Porque son eficientes y eficaces.

Es fácil para los atacantes usar ataques automáticos para encontrar fallas en un sitio web antes de que sus propietarios puedan corregirlas. Los ataques automatizados también son baratos.

Los piratas informáticos no necesitan pagar por humanos, solo aplicaciones que buscan vulnerabilidades durante horas o días a la vez.

La principal recomendación de fortalecimiento de WordPress proviene de Sucuri, quien descubrió que el 84% de los sitios web no tienen un Firewall de aplicaciones de sitios web.

El uso de un complemento de seguridad de WordPress también es esencial para proteger los sitios web de la piratería.

Estas son las 5 mejores recomendaciones de endurecimiento que encontró Sucuri:

1- Falta WAF – 84%

2- Opciones de X-Frame – 83%

3- Sin CSP – 82%

4- Seguridad estricta en el transporte – 72%

5- Sin redirección a HTTPS – 17%

Al menos un complemento de firewall está instalado en el 81% de los sitios de WordPress.

El 64% de los administradores de WordPress encuestados usan 2FA (autenticación de dos factores), mientras que el 36% no lo hace.

El 65% de los administradores de WordPress encuestados usan complementos de registro de actividad.

El 96 % de los administradores de WordPress y los propietarios de sitios web consideraban que la seguridad de WordPress era muy importante y el 4 % la consideraba algo importante.

El 43 % de los administradores dedica de 1 a 3 horas al mes a la seguridad de WordPress

El 35% de los administradores pasan más de 3 horas al mes en la seguridad de WordPress

El 22% de los administradores pasan menos de 1 hora en la seguridad de WordPress.

Casi las tres cuartas partes de todos los encuestados dijeron que actualizar el núcleo y los complementos de WordPress es su tarea de seguridad más común.

Las principales tareas que los profesionales de seguridad web realizan para sus clientes se enumeran aquí:

1- 75% de actualización de CMS y complementos

2- 67% sitios de respaldo

3- 57% instala certificados SSL

4- 56% monitorea o escanea sitios web en busca de malware

5- 38% arregla sitios relacionados con problemas de seguridad

6- 34% vulnerabilidades de parches

Se recomienda usar la actualización automática en WordPress para que se actualice automáticamente, pero se recomienda actualizar todos los complementos y temas al menos mensualmente.

Son estadísticas sobre la actualización de WordPress:

1- 35 por ciento de los administradores de sitios que actualizan sus sitios web semanalmente

2- 20 por ciento que lo hace todos los días

3- 18 por ciento que lo hace todos los meses

4- 21% usa un sistema de actualización automática por lo que no es necesario que actualicen sus sitios manualmente

Estadísticas clave sobre actualizaciones y pruebas de WordPress:

→ El 52% de los propietarios y administradores de WP encuestados tienen habilitadas las actualizaciones automáticas para el software, los complementos y los temas de WP.

→ El 25% siempre prueba primero las actualizaciones en un entorno de prueba o ensayo

→ 32% a veces prueba actualizaciones

→ 17% nunca prueba las actualizaciones

→26% solo prueba actualizaciones importantes

Puede que te sorprenda que la filtración de The Panama Papers expuso 4,8 millones de correos electrónicos debido a una vulnerabilidad en un complemento de WordPress.

Más del 35 % de los encuestados dedica menos de una hora al mes a tareas de seguridad, mientras que el 22 % dedica más de tres horas.

Sin contar las explotaciones exitosas, el software de Wordfence evitó más de 4 mil millones de intentos de explotación y más de 90 mil millones de intentos de inicio de sesión maliciosos en 2020.

Próxima versión.

Siempre se recomienda la última versión de WordPress. En el momento de escribir este artículo, WordPress 6.1.0 está disponible.

Cada año se lanzan varias actualizaciones de WordPress para seguridad y mantenimiento.

La mayoría de los sitios de WordPress desactualizados estaban infectados, lo que demuestra que ejecutar WordPress desactualizado solo está asociado de alguna manera con la infección.

El uso de la última versión de WordPress minimizará el riesgo de que los piratas informáticos ataquen su sitio.

El malware es el tipo más común de pirateo de WordPress visto por Sucuri durante la respuesta a incidentes.

Los mejores hacks de WordPress encontrados por Sucuri

1- Malware 61,65%

2- Puerta trasera – 60,04%

3- Spam SEO – 52,60%

4- Hacktool – 20,27%

5- Suplantación de identidad – 7,39%

6- Desfiguraciones – 6,63%

7- Correo – 5.92%

8- Cuentagotas – 0,63%

Alrededor del 29% de los piratas informáticos fueron pirateados por una vulnerabilidad en su tema de WordPress, según una encuesta de alrededor de 10,000 sitios.

Según estimaciones, el 41% de todos los sitios web alojados por su proveedor han tenido vulnerabilidades explotadas.

Dado que las empresas de alojamiento pueden tener miles de dominios a la vez, cientos de sitios web podrían verse afectados si se encuentra un error.

38,281 vulnerabilidades

El 99,42% de todas las vulnerabilidades de seguridad dentro del ecosistema de WordPress se encontraron en temas y complementos en 2021. Eso es un aumento del 96,22% en 2020.

Además, el 92,81 % de las vulnerabilidades se debieron a complementos, mientras que el 6,61 % se debió a temas.

El 42% de los sitios de WordPress tienen instalado al menos un componente vulnerable.

Se estima que el 91,38 % de los complementos están disponibles de forma gratuita a través del repositorio de WordPress.org, mientras que solo el 8,62 % están disponibles a través de mercados de terceros.

Casi la mitad (50 %) de las vulnerabilidades en la base de datos de Patchstack en 2021 son vulnerabilidades de secuencias de comandos entre sitios.

Las vulnerabilidades más comunes de WordPress:

1- Cross Site Scripting (XSS) – 49,82,3%

2- Otros tipos de vulnerabilidad combinados – 13,3%

3- Falsificación de solicitud entre sitios (CSRF) – 11.2%

4- Inyección SQL (SQLi) – 6,8%

5- Carga de archivos arbitrarios – 6.8%

6- Autenticación rota – 2.8%

8- 7- Divulgación de información – 2,4%

9- Vulnerabilidad de elusión – 1,1%

10 - Escalada de privilegios – 1,1 %

En total, el 84% de todas las vulnerabilidades de seguridad en Internet son causadas por secuencias de comandos entre sitios o ataques XSS.

El 39% de las vulnerabilidades de WordPress se deben a secuencias de comandos entre sitios (XSS)

El 52% de todas las vulnerabilidades de WordPress se deben a complementos obsoletos.

Esto significa que puede resolver más de la mitad de sus problemas de WordPress actualizando sus complementos.

El hecho de que no hayan sido pirateados en el pasado no significa que no lo serán en el futuro, por lo que siempre debe mantener sus complementos actualizados si desea mantenerlos seguros.

Los falsos complementos de SEO infectan más de 4000 sitios web de WordPress.

La mayor vulnerabilidad de seguridad de WordPress proviene de los complementos.

WPScan informó que el 52 % de las 4000 vulnerabilidades conocidas de WordPress son causadas por complementos, en comparación con el 37 % del núcleo de WordPress y el 11 % de los temas.

Contact Form 7 fue el complemento de WordPress vulnerable más comúnmente identificado. Se encontró en el 36,3% de todos los sitios web infectados en el punto de infección.

Sin embargo, es importante señalar que esto no significa necesariamente que el Formulario de contacto 7 fuera el vector de ataque que los piratas informáticos explotaron en estos casos, solo que contribuyó al entorno general inseguro.

TimThumb fue el segundo complemento de WordPress vulnerable más comúnmente identificado en el momento de la infección y se encontró en el 8,2 % de todos los sitios web infectados.

En orden de la cantidad de complementos de WordPress vulnerables identificados, estos son los diez principales:

1- Formulario de contacto 7 (36,3%)

2-TimThumb (8.2%)

3- WooCommerce (7,8%)

4- Formas Ninja (6.1%)

5- Yoast SEO (3,7%)

6- Elementor (3,7%)

7- Biblioteca Freemius (3,7%)

8- Constructor de página (2,7%)

9- Administrador de archivos (2.5%)

10- Bloque WooCommerce (2,5%)

Los precios individuales han oscilado entre $50 y $4800 para la eliminación de malware de WordPress, pero no hay una tarifa estándar.

Por lo general, proteger su sitio web contra malware cuesta solo $8 por sitio/mes, por lo que es una decisión fácil.

La violación de datos más grande del mundo ocurre debido a la piratería el 45% del tiempo

Aproximadamente $ 3,86 millones es el precio promedio de una violación de datos, pero, por supuesto, esto puede variar según el tamaño de la organización, la industria, etc.

Los profesionales web encuestados creen que estos son los efectos más importantes de un hackeo de WordPress:

︎ Pérdida de tiempo – 59,2%

︎ Pérdida de ingresos – 27,2%

︎ Pérdida de confianza del cliente – 26,4%

︎ Pérdida de reputación de marca – 25,6%

︎ Sin interrupción: 17,6 %