53 Statistiques de sécurité WordPress

Personne ne sait exactement combien de sites Web WordPress sont piratés, mais notre meilleure estimation est d'au moins 13 000 par jour. Cela représente environ 9 par minute, 390 000 par mois et 4,7 millions par an.

4,3 % des sites WordPress ont été piratés. Près d'un site WordPress sur 25 a été piraté.

Chaque jour, plus de 30 000 sites Web sont piratés.

10,4% des sites WordPress risquaient d'être piratés en raison de l'utilisation de plugins, de thèmes ou d'une version de WordPress obsolètes.

Grâce à sa popularité et à son utilisation généralisée, près de 90 000 attaques passent par WordPress chaque minute.

L'utilisation d'un plugin de protection de contenu WordPress est le meilleur moyen.

Nous recommandons WPShield Content Protector en raison des 15 protecteurs différents qu'il inclut.

On estime que 8 % des sites WordPress sont piratés par des mots de passe faibles ou volés.

Les propriétaires de sites Web doivent choisir un mot de passe simple afin de ne pas l'oublier, mais assurez-vous qu'il est suffisamment difficile pour que vous puissiez vous en souvenir et que les pirates ne puissent pas le deviner.

Lorsque les sites WordPress ne sont pas mis à jour assez régulièrement, ils sont particulièrement vulnérables. Les sites obsolètes sont à l'origine de 61 % des attaques.

Cela peut sembler faux, mais WordPress est attaqué tout le temps.

Selon le rapport annuel de Sucuri sur les sites Web piratés, WordPress était le CMS le plus souvent piraté en 2021.

95,6% des infections détectées par Sucuri l'ont été sur des sites WordPress.

1- WordPress – 95,6 %

2-Joomla – 2,03 %

3- Drupal – 0,83 %

4-Magento – 0,71%

5- Open Cart – 0,35 %

Il convient de noter que ce n'est pas parce que Sucuri a détecté la plupart des infections sur les sites alimentés par WordPress que WordPress lui-même est intrinsèquement vulnérable.

WordPress.

Parce que WordPress est le CMS le plus populaire, les pirates sont plus susceptibles de le cibler.

Plus de 9,7 millions d'adresses IP uniques ont tenté d'exploiter les vulnérabilités en 2020.

Les statistiques sont impressionnantes, à mon avis, mais ce qui est encore plus impressionnant, c'est que 99,6 % de tous les exploits ont été empêchés de réussir par Wordfence, et les autres ont été arrêtés par d'autres mesures de sécurité sur le site Web.

Les mots de passe non sécurisés ou volés sont à l'origine de 81 % des piratages WordPress.

Presque toutes les attaques ciblaient les sites Web pour les défigurer, puis tentaient d'injecter des scripts malveillants.

Les mots de passe sont le plus souvent volés par des attaques par force brute, où les pirates utilisent un logiciel pour se connecter automatiquement à des sites Web avec des noms d'utilisateur et des mots de passe aléatoires.

Plus de 18 millions de sites WordPress ont été compromis en 2011 à cause d'une vulnérabilité trouvée dans un plugin appelé TimThumb.

Le plugin de création de vignettes TimThumb pour WordPress présentait une vulnérabilité d'injection SQL.

On estime que 97% des attaques WordPress sont automatisées.

Pourquoi? Parce qu'ils sont performants et efficaces.

Il est facile pour les attaquants d'utiliser des attaques automatiques pour trouver des failles dans un site Web avant que leurs propriétaires ne puissent les corriger. Les attaques automatisées sont également bon marché.

Les pirates n'ont pas besoin de payer pour des humains, juste des applications qui analysent les vulnérabilités pendant des heures ou des jours à la fois.

La principale recommandation de durcissement de WordPress vient de Sucuri, qui a constaté que 84 % des sites Web n'ont pas de pare-feu d'application de site Web.

L'utilisation d'un plugin de sécurité WordPress est également essentielle pour protéger les sites Web contre le piratage.

Voici les 5 meilleures recommandations de durcissement trouvées par Sucuri :

1- WAF manquant - 84%

2- Options X-Frame - 83%

3- Pas de CSP – 82 %

4- Sécurité stricte des transports – 72 %

5- Pas de redirection vers HTTPS – 17 %

Au moins un plugin de pare-feu est installé par 81% des sites WordPress.

64% des administrateurs WordPress interrogés utilisent 2FA (authentification à deux facteurs), tandis que 36% ne le font pas.

65% des administrateurs WordPress interrogés utilisent des plugins de journal d'activité.

Il y avait 96% des administrateurs WordPress et des propriétaires de sites Web qui considéraient la sécurité WordPress comme très importante et 4% qui la considéraient comme quelque peu importante.

43% des administrateurs passent 1 à 3 heures par mois sur la sécurité de WordPress

35% des administrateurs passent plus de 3 heures par mois sur la sécurité de WordPress

22% des administrateurs passent moins d'une heure sur la sécurité de WordPress.

Près des trois quarts de tous les répondants au sondage ont déclaré que la mise à jour du noyau et des plugins WordPress est leur tâche de sécurité la plus courante.

Les principales tâches que les professionnels de la sécurité Web effectuent pour leurs clients sont répertoriées ici :

1- 75 % mettent à jour le CMS et les plugins

2- 67 % des sites de sauvegarde

3- 57% installent des certificats SSL

4- 56 % surveillent ou analysent les sites Web à la recherche de logiciels malveillants

5 à 38 % résolvent les sites liés à des problèmes de sécurité

6- 34 % de correctifs de vulnérabilités

Il est recommandé d'utiliser la mise à jour automatique sur WordPress pour être mis à jour automatiquement, mais la mise à jour mensuelle de tous les plugins et thèmes au moins est fortement recommandée.

Ce sont des statistiques sur la mise à jour de WordPress :

1- 35 % des gestionnaires de sites qui mettent à jour leurs sites Web chaque semaine

2 à 20 % qui le font tous les jours

3- 18 % qui le font tous les mois

4- 21 % utilisent un système de mise à jour automatique afin de ne pas être obligés de mettre à jour leurs sites manuellement

Statistiques clés sur les mises à jour et les tests WordPress :

→ 52% des propriétaires et administrateurs WP interrogés ont activé les mises à jour automatiques pour les logiciels, plugins et thèmes WP.

→ 25 % testent toujours les mises à jour dans un environnement de test ou de staging en premier

→ 32% testent parfois les mises à jour

→ 17 % ne testent jamais les mises à jour

→26 % ne testent que les mises à jour majeures

Cela peut vous surprendre que la fuite des Panama Papers a exposé 4,8 millions d'e-mails en raison d'une vulnérabilité dans un plugin WordPress.

Plus de 35 % des personnes interrogées consacrent moins d'une heure par mois à des tâches de sécurité, tandis que 22 % y consacrent plus de trois heures.

Sans compter les exploits réussis, le logiciel de Wordfence a empêché plus de 4 milliards de tentatives d'exploitation et plus de 90 milliards de tentatives de connexion malveillantes en 2020.

Prochaine version.

La dernière version de WordPress est toujours recommandée. Au moment d'écrire ces lignes, WordPress 6.1.0 est disponible.

Plusieurs mises à jour de WordPress sont publiées chaque année pour des raisons de sécurité et de maintenance.

Il y avait une majorité de sites WordPress obsolètes infectés, ce qui montre que l'exécution de WordPress obsolète n'est que quelque peu associée à l'infection

L'utilisation de la dernière version de WordPress minimisera le risque que des pirates attaquent votre site.

Les logiciels malveillants sont le type de piratage WordPress le plus courant vu par Sucuri lors de la réponse à un incident.

Les meilleurs hacks WordPress trouvés par Sucuri

1- Logiciels malveillants 61,65 %

2- Porte dérobée – 60,04 %

3- Spam de référencement – ​​52,60 %

4- Outil de piratage - 20,27 %

5- Hameçonnage – 7,39 %

6- Défigurations – 6,63%

7- Envoi postal – 5,92 %

8- Compte-gouttes – 0,63 %

Environ 29% des hackers ont été piratés par une vulnérabilité dans leur thème WordPress, selon une enquête portant sur environ 10 000 sites.

Selon les estimations, 41% de tous les sites Web hébergés par leur fournisseur ont eu des vulnérabilités exploitées.

Étant donné que les sociétés d'hébergement peuvent détenir des milliers de domaines à la fois, des centaines de sites Web pourraient être touchés si une erreur est détectée.

38 281 vulnérabilités

99,42 % de toutes les vulnérabilités de sécurité au sein de l'écosystème WordPress ont été trouvées dans les thèmes et les plugins en 2021. C'est une augmentation par rapport à 96,22 % en 2020.

De plus, 92,81 % des vulnérabilités étaient dues à des plugins, tandis que 6,61 % étaient dues à des thèmes.

42% des sites WordPress ont au moins un composant vulnérable installé.

On estime que 91,38% des plugins sont disponibles gratuitement via le référentiel WordPress.org, tandis que seulement 8,62% sont disponibles via des marchés tiers.

Près de la moitié (50 %) des vulnérabilités de la base de données de Patchstack en 2021 sont des vulnérabilités de script intersite.

Les vulnérabilités WordPress les plus courantes :

1- Script intersite (XSS) – 49,82,3 %

2- Autres types de vulnérabilité combinés – 13,3 %

3- Contrefaçon de requête intersite (CSRF) – 11,2 %

4- Injection SQL (SQLi) – 6,8 %

5- Téléchargement de fichiers arbitraire - 6,8 %

6- Authentification brisée – 2,8 %

8- 7- Divulgation d'informations – 2,4 %

9- Vulnérabilité de contournement - 1,1 %

10 - Escalade des privilèges - 1,1 %

Au total, 84 % de toutes les failles de sécurité sur Internet sont causées par des scripts intersites ou des attaques XSS.

39% des vulnérabilités de WordPress sont dues au cross-site scripting (XSS)

52% de toutes les vulnérabilités de WordPress sont dues à des plugins obsolètes.

Cela signifie que vous pouvez résoudre plus de la moitié de vos problèmes WordPress en mettant à jour vos plugins.

Ce n'est pas parce qu'ils n'ont pas été piratés dans le passé qu'ils ne le seront pas à l'avenir, vous devez donc toujours garder vos plugins à jour si vous voulez les protéger.

Les faux plugins SEO infectent plus de 4 000 sites Web WordPress.

La plus grande vulnérabilité de sécurité de WordPress provient des plugins.

WPScan a rapporté que 52 % des 4 000 vulnérabilités connues de WordPress sont causées par des plugins, contre 37 % par le cœur de WordPress et 11 % par des thèmes.

Le formulaire de contact 7 était le plugin WordPress vulnérable le plus couramment identifié. Il a été trouvé dans 36,3% de tous les sites Web infectés au point d'infection.

Cependant, il est important de souligner que cela ne signifie pas nécessairement que le formulaire de contact 7 était le vecteur d'attaque que les pirates ont exploité dans ces cas, mais seulement qu'il a contribué à l'environnement global non sécurisé.

TimThumb était le deuxième plugin WordPress vulnérable le plus couramment identifié au point d'infection et a été trouvé dans 8,2 % de tous les sites Web infectés.

Par ordre du nombre de plugins WordPress vulnérables identifiés, voici les dix premiers :

1- Formulaire de contact 7 (36,3%)

2- Tim Thumb (8.2%)

3- WooCommerce (7,8%)

4- Formes Ninja (6.1%)

5- Yoast SEO (3.7%)

6- Élémentaire (3.7%)

7- Bibliothèque Freemius (3,7%)

8- Générateur de pages (2,7 %)

9- Gestionnaire de fichiers (2,5 %)

10- Bloc WooCommerce (2,5%)

Les prix individuels varient de 50 $ à 4 800 $ pour la suppression des logiciels malveillants WordPress, mais il n'y a pas de frais standard.

En règle générale, la protection de votre site Web contre les logiciels malveillants ne coûte que 8 $ par site/mois, ce qui en fait une décision facile.

La plus grande violation de données au monde est due à un piratage 45 % du temps

Environ 3,86 millions de dollars est le prix moyen d'une violation de données, mais bien sûr, cela peut varier en fonction de la taille de l'organisation, de l'industrie, etc.

Les professionnels du Web interrogés pensent que ce sont les impacts les plus importants d'un hack WordPress :

︎ Perte de temps – 59,2%

︎ Perte de revenus - 27,2%

︎ Perte de confiance des clients - 26,4%

︎ Perte de réputation de marque - 25,6%

︎ Aucune perturbation - 17,6 %