53 estatísticas de segurança do WordPress

Ninguém sabe exatamente quantos sites WordPress são invadidos, mas nossa melhor estimativa é de pelo menos 13.000 por dia. Isso é cerca de 9 por minuto, 390.000 por mês e 4,7 milhões por ano.

Houve 4,3% dos sites WordPress que foram invadidos. Quase 1 em cada 25 sites WordPress foi hackeado.

Todos os dias, mais de 30.000 sites são invadidos.

10,4% dos sites do WordPress corriam o risco de serem invadidos devido ao uso de plugins, temas ou versão do WordPress desatualizados.

Graças à sua popularidade e uso generalizado, quase 90.000 ataques chegam ao WordPress a cada minuto.

Usar um plug-in de proteção de conteúdo do WordPress é a melhor maneira.

Recomendamos WPShield Content Protector por causa dos 15 protetores diferentes que ele inclui.

Estima-se que 8% dos sites WordPress sejam invadidos por senhas fracas ou roubadas.

Os proprietários de sites devem escolher uma senha simples para não esquecê-la, mas certifique-se de que seja difícil o suficiente para que você possa se lembrar dela e que os hackers não possam adivinhá-la.

Quando os sites WordPress não são atualizados regularmente, eles ficam especialmente vulneráveis. Sites desatualizados causam 61% dos ataques.

Pode parecer falso, mas o WordPress está sendo atacado o tempo todo.

De acordo com o relatório anual de sites hackeados da Sucuri, o WordPress foi o CMS mais hackeado em 2021.

95,6% das infecções detectadas pela Sucuri foram em sites WordPress.

1- WordPress – 95,6%

2- Joomla – 2,03%

3- Drupal – 0,83%

4- Magento – 0,71%

5- OpenCart – 0,35%

Vale a pena notar que só porque a Sucuri detectou a maioria das infecções em sites com tecnologia WordPress não significa que o próprio WordPress seja inerentemente vulnerável.

WordPress.

Como o WordPress é o CMS mais popular, é mais provável que os hackers o atinjam.

Mais de 9,7 milhões de endereços IP exclusivos tentaram explorar vulnerabilidades em 2020.

As estatísticas são impressionantes, na minha opinião, mas o que é ainda mais impressionante é que 99,6% de todas as explorações foram impedidas pelo Wordfence e as restantes foram interrompidas por outras medidas de segurança no site.

Senhas inseguras ou roubadas causam 81% dos hacks do WordPress.

Quase todos os ataques visavam desfigurar sites e depois tentavam injetar scripts maliciosos.

As senhas são mais comumente roubadas por meio de ataques de força bruta, em que os hackers usam software para fazer login em sites com nomes de usuário e senhas aleatórios automaticamente.

Mais de 18 milhões de sites WordPress foram comprometidos em 2011 devido a uma vulnerabilidade encontrada em um plugin chamado TimThumb.

O plug-in de criação de miniaturas TimThumb para WordPress tinha uma vulnerabilidade de injeção de SQL.

Estima-se que 97% dos ataques ao WordPress são automatizados.

Porque? Porque são eficientes e eficazes.

É fácil para os invasores usar ataques automáticos para encontrar falhas em um site antes que seus proprietários possam corrigi-las. Ataques automatizados também são baratos.

Os hackers não precisam pagar por humanos, apenas aplicativos que verificam vulnerabilidades por horas ou dias a fio.

A principal recomendação de fortalecimento do WordPress vem da Sucuri, que descobriu que 84% dos sites não possuem um firewall de aplicativo de site.

Usar um plug-in de segurança do WordPress também é essencial para proteger sites contra hackers.

Estas são as 5 principais recomendações de endurecimento encontradas pela Sucuri:

1- WAF ausente - 84%

2- Opções de X-Frame – 83%

3- Sem CSP – 82%

4- Segurança Rigorosa no Transporte – 72%

5- Sem redirecionamento para HTTPS – 17%

Pelo menos um plug-in de firewall é instalado por 81% dos sites WordPress.

64% dos administradores do WordPress pesquisados ​​usam 2FA (autenticação de dois fatores), enquanto 36% não.

65% dos administradores do WordPress pesquisados ​​usam plug-ins de log de atividades.

Havia 96% dos administradores do WordPress e proprietários de sites que consideravam a segurança do WordPress muito importante e 4% que a consideravam um tanto importante.

43% dos administradores gastam de 1 a 3 horas por mês na segurança do WordPress

35% dos administradores gastam mais de 3 horas por mês na segurança do WordPress

22% dos administradores gastam menos de 1 hora na segurança do WordPress.

Quase três quartos de todos os entrevistados disseram que atualizar o núcleo e os plugins do WordPress é a tarefa de segurança mais comum.

As principais tarefas que os profissionais de segurança da Web executam para seus clientes estão listadas aqui:

1- 75% de atualização de CMS e plugins

2- 67% sites de backup

3- 57% instalam certificados SSL

4- 56% monitoram ou verificam sites em busca de malware

5- 38% consertam sites relacionados a problemas de segurança

6- 34% de vulnerabilidades de correção

É recomendável usar a atualização automática no WordPress para ser atualizado automaticamente, mas atualizar todos os plugins e temas mensalmente, pelo menos, é muito recomendado.

São estatísticas sobre a atualização do WordPress:

1- 35% dos gerentes de sites que atualizam seus sites semanalmente

2- 20% que fazem isso todos os dias

3- 18 por cento que o fazem todos os meses

4- 21% usam um sistema de atualização automática para que não precisem atualizar seus sites manualmente

Principais estatísticas sobre atualizações e testes do WordPress:

→ 52% dos proprietários e administradores WP pesquisados ​​têm atualizações automáticas habilitadas para software WP, plug-ins e temas.

→ 25% sempre testam primeiro as atualizações em um ambiente de teste ou teste

→ 32% às vezes testam atualizações

→ 17% nunca testam atualizações

→26% apenas testam atualizações principais

Você pode ficar surpreso ao saber que o vazamento do Panama Papers expôs 4,8 milhões de e-mails devido a uma vulnerabilidade em um plug-in do WordPress.

Mais de 35% dos entrevistados gastam menos de uma hora por mês em tarefas de segurança, enquanto 22% gastam mais de três horas.

Sem contar as explorações bem-sucedidas, o software da Wordfence evitou mais de 4 bilhões de tentativas de exploração e mais de 90 bilhões de tentativas de login malicioso em 2020.

Próxima versão.

A versão mais recente do WordPress é sempre recomendada. No momento em que este livro foi escrito, o WordPress 6.1.0 estava disponível.

Várias atualizações do WordPress são lançadas a cada ano para segurança e manutenção.

A maioria dos sites WordPress desatualizados foi infectada, mostrando que a execução do WordPress desatualizado está apenas um pouco associada à infecção

Usar a versão mais recente do WordPress minimizará o risco de hackers atacarem seu site.

Malware é o tipo mais comum de invasão do WordPress visto pela Sucuri durante a resposta a incidentes.

Principais hacks do WordPress encontrados pela Sucuri

1- Malware 61,65%

2- Backdoor – 60,04%

3- Spam de SEO – 52,60%

4- Hacktool – 20,27%

5- Phishing – 7,39%

6- Desfigurações – 6,63%

7- Correio – 5,92%

8- Conta-gotas – 0,63%

Cerca de 29% dos hackers foram invadidos por uma vulnerabilidade em seu tema WordPress, de acordo com uma pesquisa com cerca de 10.000 sites.

Segundo estimativas, 41% de todos os sites hospedados por seu provedor tiveram vulnerabilidades exploradas.

Como as empresas de hospedagem podem manter milhares de domínios ao mesmo tempo, centenas de sites podem ser afetados se um erro for encontrado.

38.281 vulnerabilidades

99,42% de todas as vulnerabilidades de segurança no ecossistema WordPress foram encontradas em temas e plugins em 2021. Isso representa um aumento de 96,22% em 2020.

Além disso, 92,81% das vulnerabilidades foram devido a plugins, enquanto 6,61% foram devido a temas.

42% dos sites WordPress têm pelo menos um componente vulnerável instalado.

Estima-se que 91,38% dos plug-ins estejam disponíveis gratuitamente no repositório WordPress.org, enquanto apenas 8,62% estão disponíveis em mercados de terceiros.

Quase metade (50%) das vulnerabilidades no banco de dados do Patchstack em 2021 são vulnerabilidades de script entre sites.

As vulnerabilidades mais comuns do WordPress:

1- Cross Site Scripting (XSS) – 49,82,3%

2- Outros tipos de vulnerabilidade combinados – 13,3%

3- Falsificação de solicitação entre sites (CSRF) – 11,2%

4- SQL Injection (SQLi) – 6,8%

5- Upload arbitrário de arquivos – 6,8%

6- Autenticação quebrada – 2,8%

8- 7- Divulgação de informações – 2,4%

9- Vulnerabilidade de bypass – 1,1%

10 - Escalonamento de Privilégios - 1,1%

No total, 84% de todas as vulnerabilidades de segurança na Internet são causadas por scripts entre sites ou ataques XSS.

39% das vulnerabilidades do WordPress são causadas por cross-site scripting (XSS)

52% de todas as vulnerabilidades do WordPress são devido a plugins desatualizados.

Isso significa que você pode resolver mais da metade dos seus problemas do WordPress atualizando seus plugins.

Só porque eles não foram hackeados no passado, não significa que não serão hackeados no futuro, então você deve sempre manter seus plugins atualizados se quiser mantê-los seguros.

Plugins de SEO falsos infectam mais de 4.000 sites WordPress.

A maior vulnerabilidade de segurança do WordPress vem de plugins.

O WPScan relatou que 52% das 4.000 vulnerabilidades conhecidas do WordPress são causadas por plugins, em comparação com 37% pelo núcleo do WordPress e 11% por temas.

O Contact Form 7 foi o plugin WordPress vulnerável mais comumente identificado. Foi encontrado em 36,3% de todos os sites infectados no ponto de infecção.

No entanto, é importante ressaltar que isso não significa necessariamente que o Contact Form 7 foi o vetor de ataque que os hackers exploraram nesses casos, apenas que contribuiu para o ambiente inseguro geral.

O TimThumb foi o segundo plug-in WordPress vulnerável mais comumente identificado no ponto de infecção e foi encontrado em 8,2% de todos os sites infectados.

Em ordem do número de plugins WordPress vulneráveis ​​identificados, aqui estão os dez primeiros:

1- Formulário de contato 7 (36,3%)

2- TimThumb (8,2%)

3- WooCommerce (7,8%)

4- Formas Ninja (6,1%)

5- Yoast SEO (3,7%)

6- Elementor (3,7%)

7- Biblioteca Freemius (3,7%)

8- Construtor de páginas (2,7%)

9- Gerenciador de arquivos (2,5%)

10- Bloco WooCommerce (2,5%)

Os preços individuais variaram de $ 50 a $ 4.800 para remoção de malware do WordPress, mas não há taxa padrão.

Geralmente, proteger seu site contra malware custa apenas US$ 8 por site/mês, tornando-se uma decisão fácil.

A maior violação de dados do mundo ocorre devido a hackers 45% do tempo

Aproximadamente US$ 3,86 milhões é o preço médio de uma violação de dados, mas é claro que isso pode variar de acordo com o tamanho da organização, setor etc.

Os profissionais da Web pesquisados ​​acham que esses são os impactos mais importantes de um hack do WordPress:

︎ Perda de tempo – 59,2%

︎ Perda de receita – 27,2%

︎ Perda de confiança do cliente – 26,4%

︎ Perda na reputação da marca – 25,6%

︎ Sem interrupções – 17,6%