Statistik Peretasan WordPress (Berapa Banyak Situs Web yang Diretas?)

Ingin mengetahui berapa banyak situs WordPress yang diretas? Maka Anda tidak akan mau ketinggalan statistik peretasan WordPress ini!

WordPress adalah CMS paling populer di dunia. Ini memberdayakan lebih banyak situs web daripada perangkat lunak lainnya. Namun sayangnya, popularitas itu juga menjadikannya salah satu target paling umum bagi para peretas.

Setiap tahun, jutaan situs WordPress menjadi korban serangan siber. Jika Anda tidak ingin menjadi bagian dari grup itu, ada baiknya untuk tetap mendapat informasi.

Dengan mengingat hal itu, kami akan membagikan lebih dari 50 statistik peretasan WordPress yang perlu diketahui oleh pemilik situs web dan admin tahun ini.

Statistik di bawah ini akan membantu Anda mempelajari lebih lanjut tentang keadaan keamanan WordPress saat ini pada tahun 2022. Statistik tersebut akan mengungkapkan kerentanan situs web paling umum yang dieksploitasi oleh peretas, dan menyoroti beberapa praktik terbaik yang dapat membantu Anda menjaga situs web Anda tetap aman dan terlindungi.

Siap? Mari kita mulai!

Berapa banyak situs WordPress yang diretas?

Tidak ada yang tahu persis berapa banyak situs WordPress yang diretas, tetapi perkiraan terbaik kami adalah setidaknya 13.000 per hari. Itu sekitar 9 per menit, 390.000 per bulan, dan 4,7 juta per tahun.

Kami sampai pada perkiraan ini berdasarkan fakta bahwa Sophos melaporkan bahwa lebih dari 30.000 situs web diretas setiap hari, dan 43% dari semua situs web dibangun di WordPress.

Berapa persentase situs WordPress yang diretas?

Menurut Sucuri, 4,3% situs WordPress yang dipindai dengan SiteCheck (pemindai keamanan situs web populer) pada tahun 2021 telah diretas (terinfeksi). Itu sekitar 1 dari setiap 25 situs web.

Meskipun tidak setiap situs web WordPress akan menggunakan SiteCheck, ini mungkin merupakan indikasi yang baik tentang persentase total situs web WordPress yang diretas.

Sucuri juga menemukan bahwa 10,4% situs web WordPress berisiko diretas karena perangkat lunak yang kedaluwarsa.

Apa platform CMS yang paling sering diretas?

WordPress adalah CMS (sistem manajemen konten) yang paling sering diretas pada tahun 2021, menurut laporan situs web tahunan Sucuri yang diretas. Lebih dari 95,6% infeksi yang terdeteksi oleh Sucuri berada di situs web yang menjalankan WordPress.

5 CMS yang paling sering diretas:

1. WordPress – 95,6%
2. Joomla – 2,03%
3. Drupal – 0,83 %
4. Magento – 0,71%
5. OpenCart – 0,35%

Namun, perlu dicatat bahwa fakta bahwa sebagian besar infeksi yang terdeteksi oleh Sucuri ada di situs web yang menjalankan WordPress tidak berarti ada sesuatu yang secara inheren rentan tentang perangkat lunak inti WordPress.

Sebaliknya, itu lebih cenderung menjadi cerminan dari fakta bahwa WordPress sejauh ini merupakan CMS yang paling umum digunakan, dan bahwa pengguna WordPress lebih cenderung menggunakan plugin seperti Sucuri daripada pengguna perangkat lunak CMS lainnya.

Sumber: Sophos, Colorlib, Sucuri ¹

Apa peretasan WordPress yang paling umum?

Malware adalah jenis peretasan WordPress yang paling umum dilihat oleh Sucuri selama respons insiden. Secara total, 61,65% dari infeksi yang ditemukan oleh Sucuri dikategorikan sebagai malware. Infeksi umum lainnya termasuk peretasan pintu belakang, spam SEO, alat peretas, dan peretasan phishing.

Peretasan WordPress teratas ditemukan oleh Sucuri

1. Perangkat lunak perusak 61,65%
2. Pintu Belakang – 60,04%
3. Spam SEO – 52,60%
4. Hacktool – 20,27%
5. Phishing – 7,39%
6. Defacement – ​​6,63%
7. Surat – 5,92%
8. Penetes – 0,63%

Perangkat lunak perusak

Malware adalah jenis peretasan WordPress yang paling umum ditemukan oleh Sucuri. Ini adalah istilah umum yang mencakup semua jenis perangkat lunak berbahaya yang digunakan oleh penjahat dunia maya untuk merusak atau mengeksploitasi situs web WordPress Anda. Jenis malware yang paling umum adalah malware PHP.

Malware adalah salah satu jenis infeksi keamanan yang paling merusak karena, tidak seperti backdoors dan spam SEO, malware sering kali membuat pengunjung situs Anda berisiko melakukan tindakan jahat.

Misalnya, salah satu contoh umum malware adalah infeksi SiteURL/HomeURL, yang melibatkan menginfeksi situs Anda dengan kode yang mengarahkan pengunjung ke domain jahat atau scam untuk mencuri detail login mereka.

Contoh lain adalah skimming kartu kredit: serangan berbasis web di mana peretas menyuntikkan kode berbahaya ke situs web e-niaga untuk mencuri informasi kartu kredit dan debit pengunjung. Menariknya, statistik menunjukkan bahwa 34,5% situs web yang terinfeksi skimmer kartu kredit berjalan di WordPress.

Pintu belakang

Backdoors adalah jenis peretasan WordPress paling umum kedua yang ditemukan oleh Sucuri. Seperti namanya, jenis infeksi ini memungkinkan peretas untuk melewati saluran masuk biasa untuk mengakses backend situs web Anda melalui 'pintu belakang' rahasia dan membahayakan lingkungan.

Spam SEO

Spam SEO adalah peretasan paling umum ketiga yang ditemukan oleh Sucuri dan hadir di lebih dari setengah dari semua infeksi.

Jenis peretasan ini melibatkan menginfeksi situs untuk meningkatkan pengoptimalan mesin pencari dan mengarahkan lalu lintas ke situs web pihak ketiga dengan mengatur pengalihan, menerbitkan posting spam, dan memasukkan tautan.

Sementara itu, ini merusak skor SEO domain Anda sendiri dan dapat berdampak negatif pada posisi peringkat organik Anda di mesin pencari seperti Google.

Statistik kunci:

• 32,2% infeksi spam SEO berhubungan dengan injektor spam, yang membumbui lingkungan yang disusupi dengan tautan spam tersembunyi untuk tujuan SEO.
• Jenis lain memposting banyak blog untuk tujuan SEO, biasanya pada topik spam.
• 28% infeksi Spam SEO berhubungan dengan obat-obatan (Viagra, Cialis, dll.)
• 22% terkait dengan Spam SEO Jepang (kampanye ini mencemari hasil pencarian situs web korban dengan barang-barang desainer tiruan dan muncul di SERP dalam teks Jepang.
• Kampanye pengalihan paling sering mengarah ke domain tingkat atas .ga dan .ta

Sumber: Sucuri ¹

Kerentanan keamanan WordPress

Selanjutnya, mari kita lihat beberapa statistik WordPress yang memberi tahu kita lebih banyak tentang kerentanan keamanan yang paling sering dieksploitasi oleh peretas.

Apa kerentanan keamanan WordPress terbesar?

Tema dan plugin adalah kerentanan keamanan WordPress terbesar. 99,42% dari semua kerentanan keamanan di ekosistem WordPress berasal dari komponen ini pada tahun 2021. Itu naik dari 96,22% pada tahun 2020.

Untuk memecahnya sedikit lebih jauh, 92,81% kerentanan berasal dari plugin, dan 6,61% dari tema.

Di antara plugin WordPress yang rentan, 91,38% adalah plugin gratis yang tersedia melalui repositori WordPress.org, dan hanya 8,62% adalah plugin premium yang dijual melalui pasar pihak ketiga seperti Envato.

Statistik kunci:

• 42% situs WordPress memiliki setidaknya satu komponen rentan yang terpasang.
• Menariknya, hanya 0,58% kerentanan keamanan yang ditemukan oleh Patchstack berasal dari perangkat lunak inti WordPress.

Kerentanan WordPress teratas berdasarkan jenis

Kerentanan skrip lintas situs (CSS) membuat hampir setengah (~ 50%) dari semua kerentanan yang ditambahkan ke database Patchstack pada tahun 2021. Ini naik dari 36% pada tahun 2020.

Kerentanan umum lainnya dalam database meliputi:

• Jenis kerentanan lainnya digabungkan – 13,3%
• Pemalsuan Permintaan Lintas Situs (CSRF) – 11,2%
• Injeksi SQL (SQLi) – 6,8%
• Unggah File Sewenang-wenang – 6,8%
• Otentikasi Rusak – 2,8%
• Keterbukaan informasi – 2,4%
• Kerentanan Bypass – 1,1%
• Eskalasi Hak Istimewa – 1,1%
• Eksekusi Kode Jarak Jauh (RCE) – 0,9%

Kerentanan WordPress teratas berdasarkan tingkat keparahan

Patchstack memberi peringkat setiap kerentanan dalam basis datanya sesuai dengan tingkat keparahannya. Ini menggunakan sistem CVSS (Common Vulnerability Scoring System) untuk melakukannya, yang memberikan nilai numerik antara 0 dan 10 untuk setiap kerentanan berdasarkan tingkat keparahannya.

Sebagian besar kerentanan WordPress yang diidentifikasi oleh Patchstack tahun lalu menerima skor CVSS antara 4 dan 6,9, yang menjadikannya tingkat keparahan 'Sedang'.

• 3,4% dari kerentanan yang teridentifikasi adalah tingkat keparahan Kritis (skor 9-10 CVSS)
• 17,9% dari kerentanan yang teridentifikasi adalah tingkat keparahan tinggi (skor 7-8,9 CVSS)
• 76,8% kerentanan yang teridentifikasi adalah tingkat keparahan sedang (skor 4-6,9 CVSS)
• 1,9% dari kerentanan yang teridentifikasi adalah tingkat keparahan rendah (skor 0,1-3,9 CVSS)

Kerentanan yang paling banyak diserang

Empat kerentanan teratas yang 'diserang' dalam database Patchstack adalah:

• OptinMonster (versi 2.7.4 dan yang lebih lama) – REST-API yang tidak terlindungi untuk Pengungkapan Informasi Sensitif dan akses API yang Tidak Sah
• Kemampuan PublishPress (versi 2.3 dan sebelumnya) – Perubahan Pengaturan Tidak Diautentikasi
• Booster untuk WooCommerce (versi 5.4.3 dan sebelumnya) – Bypass Otentikasi
• Image Hover Effects Ultimate (versi 9.6.1 dan sebelumnya) – Pembaruan Opsi Sewenang-wenang yang Tidak Diautentikasi

Sumber: Sucuri ¹ , Patchstack

Statistik peretasan plugin WordPress

Seperti yang kami sebutkan sebelumnya, plugin WordPress adalah sumber kerentanan keamanan paling umum yang memungkinkan peretas menyusup atau menyusup ke situs web Anda. Selanjutnya, kita akan melihat beberapa statistik peretasan WordPress yang berhubungan dengan plugin WordPress.

Jika Anda belum tahu, plugin adalah aplikasi perangkat lunak pihak ketiga kecil yang dapat Anda instal dan aktifkan di situs WordPress Anda untuk memperluas fungsinya.

Berapa banyak kerentanan plugin WordPress?

Ada 35 kerentanan kritis yang ditemukan di plugin WordPress pada tahun 2021. Yang mengkhawatirkan, dua di antaranya ada di plugin yang memiliki lebih dari 1 juta instalasi: All in One SEO dan WP Fastest Cache.

Kabar baiknya adalah kedua kerentanan di atas segera ditambal oleh pengembang plugin. Namun, 29% dari jumlah total plugin WordPress yang ditemukan memiliki kerentanan kritis tidak menerima tambalan.

Apa saja plugin WordPress yang paling rentan?

Formulir Kontak 7 adalah plugin WordPress rentan yang paling sering diidentifikasi. Itu ditemukan di 36,3% dari semua situs web yang terinfeksi pada titik infeksi.

Namun, penting untuk menunjukkan bahwa ini tidak berarti bahwa Formulir Kontak 7 adalah vektor serangan yang dieksploitasi oleh peretas dalam kasus ini, hanya saja formulir itu berkontribusi pada lingkungan yang tidak aman secara keseluruhan.

TimThumb adalah plugin WordPress rentan kedua yang paling sering diidentifikasi pada titik infeksi dan ditemukan di 8,2% dari semua situs web yang terinfeksi. Ini sangat mengejutkan mengingat kerentanan TimThumb sudah berusia lebih dari satu dekade.

10 plugin WordPress rentan yang teridentifikasi:

Berapa banyak plugin WordPress yang harus Anda miliki?

Praktik terbaik menyarankan bahwa pemilik dan admin situs web harus memiliki plugin WordPress sesedikit mungkin. Semakin sedikit plugin yang Anda miliki, semakin rendah risiko Anda menghadapi kerentanan.

Rata-rata situs WordPress memiliki 18 plugin dan tema berbeda yang diinstal. Ini adalah 5 kurang dari tahun lalu dan di permukaan, tampaknya menjadi langkah ke arah yang benar.

Namun, lebih banyak plugin dan tema yang ditemukan sudah ketinggalan zaman tahun ini dibandingkan tahun lalu. Rata-rata, 6 dari 18 plugin yang dipasang di situs web sudah usang, dibandingkan dengan hanya 4 dari 23 tahun lalu.

Apa plugin keamanan WordPress yang paling populer?

Jetpack adalah plugin keamanan WordPress paling populer di direktori plugin WordPress, dengan lebih dari 5 juta unduhan. Namun, masih bisa diperdebatkan apakah Jetpack dapat digolongkan sebagai plugin keamanan sejati atau tidak.

Meskipun mencakup fitur keamanan seperti 2FA, deteksi malware, dan perlindungan Brute Force, itu juga mencakup fitur lain untuk hal-hal seperti pengoptimalan kecepatan, analitik, dan alat desain. Ini menjadikannya lebih sebagai plugin all-in-one daripada plugin keamanan.

Sejauh plugin keamanan khusus berjalan, Wordfence adalah yang paling populer, dengan 4 juta unduhan di database plugin WordPress.

Kerentanan tema WordPress

12,4% kerentanan tema WordPress yang diidentifikasi oleh Patchstack memiliki skor CVSS kritis (9,0 – 10,0). Dan yang mengkhawatirkan, 10 tema memiliki risiko keamanan CVSS 10.0 yang membahayakan seluruh situs pengguna melalui unggahan file arbitrer yang tidak diautentikasi dan penghapusan opsi.

Sumber : Patchstack, WordPress ¹ , WordPress ²

Bagaimana Anda bisa melindungi situs WordPress Anda dari peretasan?

Anda dapat melindungi situs web WordPress Anda dari peretasan dengan mengurangi penggunaan plugin dan tema, memastikan Anda sering memperbarui semua perangkat lunak dan menambal kerentanan yang teridentifikasi, dan melalui pengerasan WordPress.

Berikut adalah beberapa statistik yang mengungkapkan lebih banyak tentang meningkatkan keamanan situs WordPress Anda.

Rekomendasi pengerasan WordPress paling umum

Menurut data dari Sucuri, lebih dari 84% situs web tidak memiliki firewall aplikasi situs web (WAF), menjadikannya rekomendasi pengerasan WordPress teratas.

WAF membantu secara virtual menambal kerentanan yang diketahui dan melindungi situs Anda dari serangan DDoS, spam komentar, dan bot jahat.

83% situs web juga ditemukan tidak memiliki X-Frame-Options—tajuk keamanan yang membantu meningkatkan keamanan Anda dengan melindungi Anda dari clickjacking dan mencegah peretas menyematkan situs web Anda ke situs lain melalui iframe. Ini menjadikan X-Frame-Options sebagai rekomendasi pengerasan paling umum kedua.

5 rekomendasi pengerasan paling umum yang terdeteksi oleh Sucuri:

1. WAF hilang – 84%
2. Opsi X-Frame – 83%
3. Tanpa CSP – 82%
4. Keamanan Transportasi yang Ketat – 72%
5. Tidak Ada Pengalihan ke HTTPS – 17%

Bagaimana cara admin situs web melindungi situs mereka?

Menurut survei admin dan pemilik situs web, 82% telah melakukan pengerasan keamanan, sebuah praktik yang melibatkan pengambilan langkah-langkah untuk membuat situs WordPress Anda lebih sulit diretas.

Dari mereka, 27% menggunakan plugin untuk mengeraskan situs mereka, 25% melakukan pengerasan manual, dan 30% melakukan kombinasi keduanya. Hanya 18% yang tidak melakukan pengerasan sama sekali.

Statistik kunci:

• 81% dari admin WordPress yang disurvei memiliki setidaknya satu plugin firewall terpasang
• 64% admin WordPress yang disurvei menggunakan 2FA (Otentikasi dua faktor), sementara 36% tidak
• 65% admin WordPress yang disurvei menggunakan plugin log aktivitas.
• 96% administrator WordPress dan pemilik situs web yang disurvei memandang keamanan WordPress sebagai hal yang sangat penting. Dan 4% melihatnya sebagai sesuatu yang penting
• 43% admin menghabiskan 1-3 jam per bulan untuk keamanan WordPress
• 35% admin menghabiskan lebih dari 3 jam per bulan untuk keamanan WordPress
• 22% admin menghabiskan waktu kurang dari 1 jam untuk keamanan WordPress.

Bagaimana profesional web mengamankan situs klien mereka?

Menurut survei baru-baru ini, hampir setengah dari semua profesional web yang bekerja dengan klien mengandalkan plugin keamanan premium untuk mengamankan situs web klien mereka:

Metode teratas yang digunakan profesional web untuk mengamankan situs klien:

• 45,6% membayar untuk plugin keamanan premium
• 42,4% menggunakan plugin keamanan gratis
• 31,2% membayar penyedia keamanan profesional
• 28,8% menangani masalah keamanan di rumah
• 24,8% merujuk klien mereka ke penyedia keamanan profesional
• 10,4% menggunakan metode lain
• 6,4% memberi tahu klien mereka untuk menggunakan plugin gratis
• 5,6% tidak memiliki rencana untuk keamanan situs web

Tugas keamanan teratas yang dilakukan oleh para profesional web

Memperbarui WordPress (atau CMS apa pun yang digunakan klien) dan plugin adalah tugas keamanan paling umum yang dilakukan oleh profesional web, dengan tiga perempat dari semua responden survei mengatakan ini adalah sesuatu yang mereka lakukan.

Tugas teratas yang dilakukan oleh para profesional keamanan web untuk klien mereka:

• 75% memperbarui CMS dan plugin
• 67% situs cadangan
• 57% menginstal sertifikat SSL
• 56% memantau atau memindai situs web untuk malware
• 38% memperbaiki situs yang terkait dengan masalah keamanan
• 34% kerentanan patch

Seberapa sering Anda harus memperbarui situs WordPress Anda?

Seperti yang kami sebutkan sebelumnya, menjaga situs WordPress Anda diperbarui sangat penting dari sudut pandang keamanan.

Sebagian besar pengelola situs memperbarui situs web mereka setiap minggu (35%), tetapi 20% menjalankan pembaruan setiap hari, dan 18% melakukannya setiap bulan. 21% pengelola situs memiliki semacam pembaruan otomatis yang dikonfigurasi sehingga mereka tidak perlu melakukannya secara manual.

Statistik kunci:

• 52% pemilik dan admin WP yang disurvei mengaktifkan pembaruan otomatis untuk perangkat lunak, plugin, dan tema WP.
• 25% selalu menguji pembaruan dalam lingkungan pengujian atau pementasan terlebih dahulu
• 32% terkadang menguji pembaruan
• 17% tidak pernah menguji pembaruan
• 26% hanya menguji pembaruan utama

Sumber: Sucuri ² , Sucuri ³ , WP White Security

Biaya peretasan WordPress

Diretas dapat merugikan bisnis dengan sedikit uang. Menghapus malware secara profesional membutuhkan biaya rata-rata $613, tetapi dapat menghabiskan ribuan—atau bahkan jutaan—dolar lebih banyak untuk memulihkan dari pelanggaran data yang serius.

Selain biaya moneter, peretasan WordPress juga secara tidak langsung dapat memengaruhi biaya bisnis dengan memengaruhi pendapatan dan merusak reputasi merek.

Berapa biaya untuk memperbaiki situs WordPress yang diretas?

Biaya rata-rata penghapusan malware WordPress adalah $613, tetapi itu dapat bervariasi secara substansial dari kasus ke kasus. Secara individual, harga berkisar dari $50 hingga $4.800.

Sebagai perbandingan, membayar keamanan situs web untuk melindungi situs Anda dari malware rata-rata hanya berharga $8 per situs/bulan—membuatnya tidak perlu dipikirkan lagi bagi sebagian besar pemilik situs.

Berapa biaya pelanggaran data bisnis?

Peretasan bertanggung jawab atas 45% pelanggaran data di seluruh dunia. Dan rata-rata, biaya rata-rata pelanggaran data adalah $3,86 juta. Tapi tentu saja, ini bervariasi berdasarkan ukuran organisasi, industri, dll.

Apa dampak terbesar dari peretasan WordPress?

Menurut para profesional web yang disurvei, dampak terbesar peretasan pada bisnis klien mereka adalah hilangnya waktu (59,2%). Dampak negatif lainnya antara lain:

• Kehilangan pendapatan – 27,2%
• Kehilangan kepercayaan klien – 26,4%
• Kehilangan reputasi merek – 25,6%
• Tidak ada gangguan – 17,6%

Sumber: Patchstack, Statista, Sucuri ³

Apa versi WordPress yang paling aman?

Versi WordPress yang paling aman selalu versi terbaru. Pada saat penulisan, ini adalah WordPress 6.0.2.

Seberapa sering WordPress merilis pembaruan keamanan?

WordPress biasanya merilis beberapa pembaruan keamanan dan pemeliharaan setiap tahun. Ada 4 pada tahun 2021. Rilis keamanan terbaru (pada saat penulisan) adalah WordPress 6.0.2, yang memperbaiki tiga masalah keamanan: kerentanan XSS, masalah pelepasan keluaran, dan kemungkinan injeksi SQL.

Apakah WordPress versi lama mudah diretas?

Hanya 50,3% situs web WordPress yang ditemukan kedaluwarsa saat terinfeksi, yang menunjukkan bahwa menjalankan versi perangkat lunak WordPress yang kedaluwarsa hanya secara kasar berkorelasi dengan infeksi. Meskipun demikian, praktik terbaik menyarankan Anda harus selalu menggunakan versi terbaru WordPress untuk meminimalkan risiko diretas.

Sumber: Sucuri ¹ , WordPress ³

Pikiran terakhir

Itu menyimpulkan kumpulan statistik peretasan WordPress terpenting kami untuk tahun 2022. Kami harap Anda menemukan data ini berguna!

Jika Anda ingin mempelajari lebih lanjut tentang WordPress, lihat kumpulan statistik WordPress kami.

Anda juga dapat mempelajari lebih lanjut tentang cara melindungi situs Anda dari peretas dengan membaca panduan mendalam kami tentang cara meningkatkan keamanan WordPress pada tahun 2022.

Semoga beruntung!