53 Statystyki bezpieczeństwa WordPressa

Nikt nie wie dokładnie, ile witryn WordPress zostało zaatakowanych przez hakerów, ale według naszych szacunków dochodzi do co najmniej 13 000 dziennie. To około 9 na minutę, 390 000 miesięcznie i 4,7 miliona rocznie.

Zhackowano 4,3% witryn WordPress. Prawie 1 na 25 witryn WordPress została zhakowana.

Każdego dnia ponad 30 000 witryn internetowych jest atakowanych przez hakerów.

10,4% witryn WordPress było zagrożonych atakami hakerskimi z powodu używania przestarzałych wtyczek, motywów lub wersji WordPress.

Dzięki swojej popularności i powszechnemu użyciu WordPress co minutę przechodzi prawie 90 000 ataków.

Najlepszym sposobem jest użycie wtyczki do ochrony treści WordPress.

Polecamy WPShield Content Protector ze względu na 15 różnych zabezpieczeń, które zawiera.

Szacuje się, że 8% witryn WordPress jest atakowanych przez słabe lub skradzione hasła.

Właściciele witryn powinni wybrać proste hasło, aby go nie zapomnieć, ale upewnij się, że jest na tyle trudne, że możesz je zapamiętać i że hakerzy nie będą w stanie go odgadnąć.

Gdy witryny WordPress nie są aktualizowane wystarczająco regularnie, są szczególnie narażone. Nieaktualne witryny są przyczyną 61% ataków.

Może się to wydawać fałszywe, ale WordPress jest cały czas atakowany.

Zgodnie z corocznym raportem Sucuri dotyczącym zhakowanych witryn, WordPress był najczęściej atakowanym systemem CMS w 2021 roku.

95,6% infekcji wykrytych przez Sucuri dotyczyło witryn WordPress.

1- WordPress – 95,6%

2- Joomla – 2,03%

3- Drupal – 0,83%

4- Magento – 0,71%

5- OpenCart – 0,35%

Warto zauważyć, że sam fakt, że Sucuri wykrył większość infekcji w witrynach opartych na WordPressie, nie oznacza, że ​​sam WordPress jest z natury podatny na ataki.

WordPressa.

Ponieważ WordPress jest najpopularniejszym systemem CMS, hakerzy częściej atakują go.

W 2020 roku ponad 9,7 miliona unikalnych adresów IP próbowało wykorzystać luki w zabezpieczeniach.

Moim zdaniem statystyki są imponujące, ale jeszcze bardziej imponujące jest to, że 99,6% wszystkich exploitów zostało powstrzymanych przez Wordfence, a pozostałe zostały zatrzymane przez inne środki bezpieczeństwa na stronie.

Niepewne lub skradzione hasła powodują 81% włamań do WordPressa.

Niemal wszystkie ataki dotyczyły witryn internetowych w celu ich zniszczenia, a następnie próbowano wstrzyknąć złośliwe skrypty.

Hasła są najczęściej kradzione za pomocą ataków siłowych, w których hakerzy używają oprogramowania do automatycznego logowania się na stronach internetowych przy użyciu losowych nazw użytkownika i haseł.

Ponad 18 milionów witryn WordPress zostało zaatakowanych w 2011 roku z powodu luki wykrytej we wtyczce o nazwie TimThumb.

Wtyczka TimThumb do tworzenia miniatur dla WordPress miała lukę umożliwiającą wstrzyknięcie kodu SQL.

Szacuje się, że 97% ataków WordPress jest zautomatyzowanych.

Czemu? Ponieważ są wydajne i skuteczne.

Napastnikom łatwo jest użyć automatycznych ataków, aby znaleźć luki w witrynie, zanim ich właściciele będą mogli je naprawić. Zautomatyzowane ataki są również tanie.

Hakerzy nie muszą płacić za ludzi, tylko za aplikacje, które godzinami lub dniami skanują luki w zabezpieczeniach.

Najlepsze zalecenie dotyczące utwardzania WordPress pochodzi od Sucuri, który stwierdził, że 84% witryn nie ma zapory aplikacji witryny.

Korzystanie z wtyczki zabezpieczającej WordPress jest również niezbędne do ochrony stron internetowych przed hakowaniem.

Oto 5 najlepszych zaleceń dotyczących utwardzania znalezionych przez firmę Sucuri:

1- Brakujący WAF – 84%

2- Opcje X-Frame – 83%

3- Brak CSP – 82%

4- Ścisłe bezpieczeństwo transportu – 72%

5- Brak przekierowania na HTTPS – 17%

Co najmniej jedna wtyczka zapory jest zainstalowana na 81% witryn WordPress.

64% ankietowanych administratorów WordPress używa 2FA (uwierzytelnianie dwuskładnikowe), a 36% nie.

65% ankietowanych administratorów WordPress używa wtyczek dziennika aktywności.

96% administratorów WordPress i właścicieli witryn uważało bezpieczeństwo WordPress za bardzo ważne, a 4% uważało je za dość ważne.

43% administratorów spędza 1-3 godziny miesięcznie na bezpieczeństwie WordPressa

35% administratorów spędza ponad 3 godziny miesięcznie na bezpieczeństwie WordPressa

22% administratorów spędza mniej niż 1 godzinę na bezpieczeństwie WordPressa.

Prawie trzy czwarte wszystkich respondentów stwierdziło, że aktualizacja rdzenia i wtyczek WordPressa to ich najczęstsze zadanie związane z bezpieczeństwem.

Poniżej wymieniono najważniejsze zadania, które specjaliści ds. bezpieczeństwa sieciowego wykonują dla swoich klientów:

1- 75% aktualizacji CMS i wtyczek

2- 67% witryn zapasowych

3-57% instaluje certyfikaty SSL

4-56% monitoruje lub skanuje strony internetowe w poszukiwaniu złośliwego oprogramowania

5-38% naprawia strony związane z problemami bezpieczeństwa

6-34% luk w poprawkach

Zaleca się korzystanie z automatycznych aktualizacji w WordPress, aby były one aktualizowane automatycznie, ale zaleca się aktualizowanie wszystkich wtyczek i motywów co najmniej raz w miesiącu.

To statystyki dotyczące aktualizacji WordPressa:

1-35 procent menedżerów witryn, którzy co tydzień aktualizują swoje witryny

2-20 procent robi to codziennie

3-18 procent robi to co miesiąc

4-21% korzysta z automatycznego systemu aktualizacji, więc nie muszą ręcznie aktualizować swoich witryn

Kluczowe statystyki dotyczące aktualizacji i testowania WordPressa:

→ 52% ankietowanych właścicieli i administratorów WP ma włączone automatyczne aktualizacje oprogramowania WP, wtyczek i motywów.

→ 25% zawsze najpierw testuje aktualizacje w środowisku testowym lub przejściowym

→ 32% czasami testuje aktualizacje

→ 17% nigdy nie testuje aktualizacji

→26% testuje tylko główne aktualizacje

Może Cię zaskoczyć, że Panama Papers ujawniło wyciek 4,8 miliona e-maili z powodu luki we wtyczce WordPress.

Ponad 35% respondentów spędza mniej niż godzinę miesięcznie na zadaniach związanych z bezpieczeństwem, a 22% spędza więcej niż trzy godziny.

Nie licząc udanych exploitów, oprogramowanie Wordfence zapobiegło ponad 4 miliardom prób wykorzystania exploitów i ponad 90 miliardom złośliwych prób logowania w 2020 roku.

Następna wersja.

Zawsze zalecana jest najnowsza wersja WordPressa. W chwili pisania tego tekstu WordPress 6.1.0 jest dostępny.

Każdego roku wydawanych jest kilka aktualizacji WordPressa dotyczących bezpieczeństwa i konserwacji.

Większość nieaktualnych witryn WordPress została zainfekowana, co pokazuje, że korzystanie z nieaktualnego WordPressa jest tylko w pewnym stopniu związane z infekcją

Korzystanie z najnowszej wersji WordPressa zminimalizuje ryzyko ataku hakerów na Twoją witrynę.

Złośliwe oprogramowanie jest najczęstszym rodzajem włamań do WordPressa widzianym przez Sucuri podczas reagowania na incydenty.

Najpopularniejsze hacki WordPress znalezione przez Sucuri

1- Złośliwe oprogramowanie 61,65%

2- Tylne wejście – 60,04%

3- Spam SEO – 52,60%

4- Narzędzie hakerskie – 20,27%

5- Wyłudzanie informacji – 7,39%

6- Zniekształcenia – 6,63%

7- Koperta – 5,92%

8- Zakraplacz – 0,63%

Według ankiety przeprowadzonej na około 10 000 witryn około 29% hakerów zostało zhakowanych przez lukę w zabezpieczeniach ich motywu WordPress.

Według szacunków 41% wszystkich witryn hostowanych przez ich dostawcę miało luki w zabezpieczeniach.

Ponieważ firmy hostingowe mogą przechowywać tysiące domen jednocześnie, wykrycie błędu może mieć wpływ na setki witryn.

38 281 luk w zabezpieczeniach

99,42% wszystkich luk w zabezpieczeniach ekosystemu WordPress zostało wykrytych w motywach i wtyczkach w 2021 roku. To wzrost z 96,22% w 2020 roku.

Ponadto 92,81% luk było spowodowanych przez wtyczki, a 6,61% przez motywy.

42% witryn WordPress ma zainstalowany co najmniej jeden wrażliwy komponent.

Szacuje się, że 91,38% wtyczek jest dostępnych za darmo za pośrednictwem repozytorium WordPress.org, podczas gdy tylko 8,62% jest dostępnych za pośrednictwem zewnętrznych platform handlowych.

Prawie połowa (50%) luk w bazie danych Patchstack w 2021 r. to luki w zabezpieczeniach typu cross-site scripting.

Najczęstsze luki WordPress:

1- Cross Site Scripting (XSS) – 49,82,3%

2- Łącznie inne rodzaje podatności – 13,3%

3- Fałszowanie żądań między witrynami (CSRF) – 11,2%

4- SQL Injection (SQLi) – 6,8%

5- Dowolne przesyłanie plików – 6,8%

6- Uszkodzone uwierzytelnianie – 2,8%

8- 7- Ujawnienie informacji – 2,4%

9- Podatność na obejście – 1,1%

10 – Eskalacja przywilejów – 1,1%

W sumie 84% wszystkich luk w zabezpieczeniach w Internecie jest spowodowanych atakami typu cross-site scripting lub XSS.

39% luk w zabezpieczeniach WordPress wynika z cross-site scripting (XSS)

52% wszystkich luk w zabezpieczeniach WordPress wynika z przestarzałych wtyczek.

Oznacza to, że możesz rozwiązać ponad połowę problemów z WordPressem, aktualizując wtyczki.

To, że nie zostały zhakowane w przeszłości, nie oznacza, że ​​nie zostaną zhakowane w przyszłości, więc zawsze powinieneś aktualizować swoje wtyczki, jeśli chcesz, aby były bezpieczne.

Fałszywe wtyczki SEO infekują ponad 4000 witryn WordPress.

Największa luka w zabezpieczeniach WordPressa pochodzi z wtyczek.

WPScan poinformował, że 52% z 4000 znanych luk w zabezpieczeniach WordPress jest spowodowanych przez wtyczki, w porównaniu do 37% rdzenia WordPress i 11% motywów.

Formularz kontaktowy 7 był najczęściej identyfikowaną podatną na ataki wtyczką WordPress. Wykryto go na 36,3% wszystkich zainfekowanych stron internetowych w momencie infekcji.

Należy jednak zaznaczyć, że niekoniecznie oznacza to, że Contact Form 7 był wektorem ataku wykorzystywanym przez hakerów w tych przypadkach, a jedynie, że przyczynił się do ogólnego braku bezpieczeństwa środowiska.

TimThumb był drugą najczęściej identyfikowaną podatną na ataki wtyczką WordPress w momencie infekcji i został znaleziony w 8,2% wszystkich zainfekowanych stron internetowych.

Oto pierwsza dziesiątka pod względem liczby zidentyfikowanych podatnych na ataki wtyczek WordPress:

1- Formularz kontaktowy 7 (36,3%)

2-TymKciuk (8,2%)

3- WooCommerce (7,8%)

4- Formy Ninja (6,1%)

5- Yoast SEO (3,7%)

6- Elementor (3,7%)

7- Biblioteka Freemiusa (3,7%)

8- Kreator stron (2,7%)

9- Menedżer plików (2,5%)

10- Blok WooCommerce (2,5%)

Indywidualne ceny wahały się od 50 do 4800 USD za usuwanie złośliwego oprogramowania WordPress, ale nie ma standardowej opłaty.

Ogólnie rzecz biorąc, ochrona witryny przed złośliwym oprogramowaniem kosztuje zaledwie 8 USD miesięcznie za witrynę, co ułatwia podjęcie decyzji.

W 45% przypadków dochodzi do największego na świecie wycieku danych w wyniku włamania

Około 3,86 miliona USD to średnia cena naruszenia danych, ale oczywiście może się ona różnić w zależności od wielkości organizacji, branży itp.

Ankietowani specjaliści z branży internetowej uważają, że są to najważniejsze skutki włamania do WordPress:

︎ Strata czasu – 59,2%

︎ Utrata przychodów – 27,2%

︎ Utrata zaufania klientów – 26,4%

︎ Utrata reputacji marki – 25,6%

︎ Brak zakłóceń – 17,6%