53 WordPress 보안 통계

얼마나 많은 WordPress 웹사이트가 해킹당하는지 정확히 아는 사람은 없지만 최선의 추정치는 하루에 최소 13,000개입니다. 분당 9회, 월 39만회, 연간 470만회 정도다.

WordPress 사이트의 4.3%가 해킹당했습니다. WordPress 사이트 25개 중 거의 1개가 해킹당했습니다.

매일 30,000개 이상의 웹사이트가 해킹당합니다.

WordPress 사이트의 10.4%는 오래된 플러그인, 테마 또는 WordPress 버전을 사용하여 해킹당할 위험이 있습니다.

인기와 광범위한 사용 덕분에 거의 90,000건의 공격이 WordPress를 통해 매분 발생합니다.

WordPress 콘텐츠 보호 플러그인을 사용하는 것이 가장 좋은 방법입니다.

포함된 15개의 서로 다른 프로텍터 때문에 WPShield Content Protector를 권장합니다.

WordPress 사이트의 8%가 약하거나 도난당한 비밀번호로 해킹당하는 것으로 추정됩니다.

웹사이트 소유자는 비밀번호를 잊어버리지 않도록 간단한 비밀번호를 선택해야 하지만, 기억할 수 있고 해커가 추측할 수 없을 정도로 어려운 비밀번호인지 확인해야 합니다.

WordPress 사이트가 정기적으로 충분히 업데이트되지 않으면 특히 취약합니다. 오래된 사이트는 공격의 61%를 유발합니다.

가짜처럼 보일 수 있지만 WordPress는 항상 공격을 받고 있습니다.

Sucuri의 연례 해킹 웹사이트 보고서에 따르면 WordPress는 2021년에 가장 많이 해킹된 CMS였습니다.

Sucuri가 탐지한 감염의 95.6%는 WordPress 사이트에서 발생했습니다.

1- 워드프레스 – 95.6%

2- 줌라 – 2.03%

3- 드루팔 – 0.83%

4- 마젠토 – 0.71%

5- 오픈카트 – 0.35%

Sucuri가 WordPress 기반 사이트에서 대부분의 감염을 탐지했다고 해서 WordPress 자체가 본질적으로 취약하다는 의미는 아닙니다.

워드프레스.

WordPress는 가장 인기 있는 CMS이기 때문에 해커가 표적으로 삼을 가능성이 더 큽니다.

2020년에 970만 개 이상의 고유 IP 주소가 취약점 악용을 시도했습니다.

내 생각에 통계는 인상적이지만 더 인상적인 것은 모든 익스플로잇의 99.6%가 Wordfence에 의해 성공하지 못했고 나머지는 웹 사이트의 다른 보안 조치에 의해 중단되었다는 것입니다.

안전하지 않거나 도난당한 비밀번호로 인해 WordPress 해킹의 81%가 발생합니다.

거의 모든 공격은 손상을 위해 웹 사이트를 대상으로 한 다음 악성 스크립트를 주입하려고 시도했습니다.

암호는 해커가 소프트웨어를 사용하여 임의의 사용자 이름과 암호를 사용하여 자동으로 웹 사이트에 로그인하는 무차별 대입 공격을 통해 가장 일반적으로 도난당합니다.

TimThumb이라는 플러그인에서 발견된 취약점으로 인해 2011년에 1,800만 개 이상의 WordPress 사이트가 손상되었습니다.

WordPress용 TimThumb 썸네일 생성 플러그인에 SQL 주입 취약점이 있었습니다.

WordPress 공격의 97%가 자동화된 것으로 추정됩니다.

왜요? 효율적이고 효과적이기 때문입니다.

공격자는 자동 공격을 사용하여 소유자가 수정하기 전에 웹 사이트에서 결함을 쉽게 찾을 수 있습니다. 자동화된 공격도 저렴합니다.

해커는 인간에게 비용을 지불할 필요가 없으며 한 번에 몇 시간 또는 며칠 동안 취약점을 검색하는 애플리케이션만 있으면 됩니다.

최고의 WordPress 강화 권장 사항은 웹 사이트의 84%에 웹 사이트 응용 프로그램 방화벽이 없다는 것을 발견한 Sucuri에서 나온 것입니다.

WordPress 보안 플러그인을 사용하는 것도 해킹으로부터 웹 사이트를 보호하는 데 필수적입니다.

다음은 Sucuri가 찾은 상위 5가지 강화 권장 사항입니다.

1- WAF 누락 – 84%

2- X-프레임 옵션 – 83%

3- CSP 없음 – 82%

4- 엄격한 운송 보안 – 72%

5- HTTPS로 리디렉션 안 함 – 17%

WordPress 사이트의 81%에 하나 이상의 방화벽 플러그인이 설치되어 있습니다.

설문조사에 참여한 WordPress 관리자의 64%는 2FA(2단계 인증)를 사용하고 36%는 사용하지 않습니다.

설문조사에 참여한 WordPress 관리자의 65%가 활동 로그 플러그인을 사용합니다.

WordPress 관리자 및 웹사이트 소유자의 96%는 WordPress 보안을 매우 중요하게 보았고 4%는 다소 중요하다고 생각했습니다.

관리자의 43%가 WordPress 보안에 매달 1-3시간을 사용합니다.

관리자의 35%가 WordPress 보안에 매달 3시간 이상을 사용합니다.

관리자의 22%는 WordPress 보안에 1시간 미만을 소비합니다.

모든 설문 응답자의 거의 3/4이 WordPress 코어 및 플러그인 업데이트가 가장 일반적인 보안 작업이라고 말했습니다.

웹 보안 전문가가 고객을 위해 수행하는 주요 작업은 다음과 같습니다.

1- 75% 업데이트 CMS 및 플러그인

2- 67% 백업 사이트

3- 57%는 SSL 인증서 설치

4- 56%는 웹사이트에서 맬웨어를 모니터링하거나 스캔합니다.

5~38% 보안 문제와 관련된 사이트 수정

6- 34% 패치 취약점

WordPress에서 자동 업데이트를 사용하여 자동으로 업데이트하는 것이 좋지만 모든 플러그인과 테마는 적어도 매월 업데이트하는 것이 좋습니다.

WordPress 업데이트에 대한 통계입니다.

매주 웹사이트를 업데이트하는 사이트 관리자의 1- 35%

매일 하는 2~20%

매달 하는 3~18%

4~21%는 사이트를 수동으로 업데이트할 필요가 없도록 자동 업데이트 시스템을 사용합니다.

WordPress 업데이트 및 테스트에 대한 주요 통계:

→ 설문조사에 참여한 WP 소유자 및 관리자의 52%가 WP 소프트웨어, 플러그인 및 테마에 대해 자동 업데이트를 활성화했습니다.

→ 25%는 항상 테스트 또는 스테이징 환경에서 먼저 업데이트를 테스트합니다.

→ 32% 가끔 업데이트 테스트

→ 17%는 업데이트를 테스트하지 않음

→26%는 주요 업데이트만 테스트

The Panama Papers가 WordPress 플러그인의 취약점으로 인해 480만 개의 이메일을 유출했다는 사실에 놀랄 수도 있습니다.

응답자의 35% 이상이 보안 작업에 매달 1시간 미만을 사용하고 22%는 3시간 이상을 사용합니다.

성공적인 악용 횟수를 제외하고 Wordfence의 소프트웨어는 2020년에 40억 건 이상의 악용 시도와 900억 건 이상의 악의적인 로그인 시도를 방지했습니다.

다음 버전.

항상 최신 버전의 워드프레스를 권장합니다. 이 글을 쓰는 시점에서 WordPress 6.1.0을 사용할 수 있습니다.

보안 및 유지 관리를 위해 WordPress에 대한 몇 가지 업데이트가 매년 릴리스됩니다.

대부분의 오래된 WordPress 사이트가 감염되었으며, 이는 오래된 WordPress 실행이 감염과 다소 관련이 있음을 보여줍니다.

최신 버전의 WordPress를 사용하면 해커가 사이트를 공격할 위험이 최소화됩니다.

맬웨어는 사건 대응 중에 Sucuri가 본 WordPress 해킹의 가장 일반적인 유형입니다.

Sucuri가 찾은 최고의 WordPress 해킹

1- 악성코드 61.65%

2- 백도어 – 60.04%

3- SEO 스팸 – 52.60%

4- Hacktool – 20.27%

5- 피싱 – 7.39%

6- 훼손 – 6.63%

7- 메일러 – 5.92%

8- 드롭퍼 – 0.63%

약 10,000개 사이트에 대한 설문 조사에 따르면 약 29%의 해커가 WordPress 테마의 취약점으로 인해 해킹을 당했습니다.

추정에 따르면 제공업체가 호스팅하는 모든 웹사이트의 41%가 취약점을 악용한 적이 있습니다.

호스팅 회사는 한 번에 수천 개의 도메인을 보유할 수 있으므로 실수가 발견되면 수백 개의 웹사이트가 영향을 받을 수 있습니다.

38,281개의 취약점

2021년 WordPress 생태계 내 모든 보안 취약점의 99.42%가 테마와 플러그인에서 발견되었습니다. 이는 2020년 96.22%에서 증가한 수치입니다.

또한 취약점의 92.81%는 플러그인 때문이었고 6.61%는 테마 때문이었습니다.

WordPress 사이트의 42%에 하나 이상의 취약한 구성 요소가 설치되어 있습니다.

플러그인의 91.38%가 WordPress.org 리포지토리를 통해 무료로 제공되는 반면 타사 마켓플레이스를 통해 제공되는 플러그인은 8.62%에 불과한 것으로 추정됩니다.

2021년 Patchstack 데이터베이스의 취약점 중 거의 절반(50%)이 교차 사이트 스크립팅 취약점입니다.

가장 일반적인 WordPress 취약점:

1- 교차 사이트 스크립팅(XSS) – 49.82.3%

2- 기타 취약성 유형 결합 – 13.3%

3- 교차 사이트 요청 위조(CSRF) – 11.2%

4- SQL 인젝션(SQLi) – 6.8%

5- 임의 파일 업로드 – 6.8%

6- 깨진 인증 – 2.8%

8- 7- 정보 공개 – 2.4%

9- 취약점 우회 – 1.1%

10 -권한 상승 – 1.1%

전체적으로 인터넷의 모든 보안 취약점의 84%는 교차 사이트 스크립팅 또는 XSS 공격으로 인해 발생합니다.

WordPress 취약점의 39%는 XSS(교차 사이트 스크립팅) 때문입니다.

모든 WordPress 취약점의 52%는 오래된 플러그인 때문입니다.

이는 플러그인을 업데이트하여 WordPress 문제의 절반 이상을 해결할 수 있음을 의미합니다.

과거에 해킹당하지 않았다고 해서 앞으로도 해킹당하지 않을 것이라는 의미는 아니므로 안전하게 유지하려면 플러그인을 항상 최신 상태로 유지해야 합니다.

가짜 SEO 플러그인은 4,000개 이상의 WordPress 웹사이트를 감염시킵니다.

WordPress의 가장 큰 보안 취약점은 플러그인에서 비롯됩니다.

WPScan은 4,000개의 알려진 WordPress 취약점 중 52%가 플러그인에 의해 발생한다고 보고했으며, WordPress 코어는 37%, 테마는 11%입니다.

Contact Form 7은 가장 일반적으로 식별된 취약한 WordPress 플러그인이었습니다. 감염 시점의 전체 감염된 웹사이트의 36.3%에서 발견되었습니다.

그러나 이것이 반드시 Contact Form 7이 해커가 이러한 경우에 악용한 공격 벡터라는 것을 의미하는 것은 아니며, 단지 전반적인 안전하지 않은 환경에 기여했다는 것을 의미한다는 점을 지적하는 것이 중요합니다.

TimThumb은 감염 시점에서 두 번째로 가장 일반적으로 식별된 취약한 WordPress 플러그인이었으며 모든 감염된 웹사이트의 8.2%에서 발견되었습니다.

확인된 취약한 WordPress 플러그인의 수 순서대로 상위 10개는 다음과 같습니다.

1- 문의 양식 7(36.3%)

2- TimThumb (8.2%)

3- 우커머스(7.8%)

4- 닌자 양식(6.1%)

5- 요스트 SEO(3.7%)

6- 엘레멘터(3.7%)

7- 프리미우스 도서관(3.7%)

8- 페이지 빌더(2.7%)

9- 파일 관리자(2.5%)

10- 우커머스 블록(2.5%)

개별 가격은 WordPress 맬웨어 제거에 대해 $50에서 $4,800까지 다양하지만 표준 요금은 없습니다.

일반적으로 맬웨어로부터 웹 사이트를 보호하는 비용은 사이트당 월 $8에 불과하므로 쉽게 결정할 수 있습니다.

세계 최대의 데이터 유출은 45%의 시간 동안 해킹으로 인해 발생합니다.

데이터 유출의 평균 비용은 약 386만 달러이지만 조직, 산업 등의 규모에 따라 달라질 수 있습니다.

설문 조사에 참여한 웹 전문가들은 다음이 WordPress 해킹의 가장 중요한 영향이라고 생각합니다.

︎ 시간 손실 – 59.2%

︎ 수익 손실 – 27.2%

︎ 고객 신뢰 상실 – 26.4%

︎ 브랜드 평판 하락 – 25.6%

︎ 중단 없음 – 17.6%