Statistici de piratare WordPress (Câte site-uri web sunt piratate?)

Publicat: 2022-09-23

Doriți să aflați câte site-uri WordPress sunt sparte? Atunci nu vei dori să ratezi aceste statistici de hacking WordPress!

WordPress este cel mai popular CMS din lume. Acesta alimentează mai multe site-uri web decât orice alt software. Dar, din păcate, această popularitate îl face și una dintre cele mai comune ținte pentru hackeri.

În fiecare an, milioane de site-uri WordPress cad victimele atacurilor cibernetice. Dacă nu vrei să faci parte din acel grup, te ajută să fii informat.

Având în vedere acest lucru, vom împărtăși peste 50 de statistici de hacking WordPress pe care proprietarii și administratorii de site-uri web trebuie să le cunoască în acest an.

Statisticile de mai jos vă vor ajuta să aflați mai multe despre starea actuală a securității WordPress în 2022. Acestea vor dezvălui cele mai comune vulnerabilități ale site-urilor web pe care hackerii le exploatează și vor evidenția câteva bune practici care vă pot ajuta să vă mențineți site-ul în siguranță și securizat.

Gata? Să începem!

Câte site-uri WordPress sunt sparte?

Nimeni nu știe exact câte site-uri WordPress sunt sparte, dar cea mai bună estimare a noastră este de cel puțin 13.000 pe zi. Adică aproximativ 9 pe minut, 390.000 pe lună și 4,7 milioane pe an.

Am ajuns la această estimare pe baza faptului că Sophos raportează că peste 30.000 de site-uri web sunt piratate zilnic, iar 43% din toate site-urile sunt construite pe WordPress.

Ce procent din site-urile WordPress sunt piratate?

Potrivit lui Sucuri, 4,3% dintre site-urile WordPress care au fost scanate cu SiteCheck (un scanner de securitate pentru site-uri web popular) în 2021 au fost piratate (infectate). Adică aproximativ 1 din 25 de site-uri web.

Deși nu toate site-urile WordPress vor folosi SiteCheck, aceasta este totuși probabil o indicație bună a procentului total de site-uri WordPress care sunt piratate.

Sucuri a constatat, de asemenea, că 10,4% dintre site-urile WordPress riscau să fie piratate, deoarece rulau software învechit.

Care este cea mai frecventă platformă CMS piratată?

WordPress a fost cel mai frecvent piratat CMS (sistem de management al conținutului) în 2021, potrivit raportului anual al site-ului piratat al Sucuri. Peste 95,6% dintre infecțiile detectate de Sucuri au fost pe site-uri care rulează WordPress.

Top 5 cele mai piratate CMS:

  1. WordPress – 95,6%
  2. Joomla – 2,03%
  3. Drupal – 0,83 %
  4. Magento – 0,71%
  5. OpenCart – 0,35%

Cu toate acestea, merită remarcat faptul că faptul că majoritatea infecțiilor detectate de Sucuri au fost pe site-uri web care rulează WordPress nu înseamnă neapărat că există ceva inerent vulnerabil în software-ul de bază WordPress.

Dimpotrivă, este mai probabil să fie pur și simplu o reflectare a faptului că WordPress este de departe cel mai des folosit CMS și că utilizatorii WordPress au mai multe șanse să folosească pluginuri precum Sucuri decât utilizatorii altor software CMS.

Surse: Sophos, Colorlib, Sucuri 1

Care sunt cele mai comune hack-uri WordPress?

Malware este cel mai comun tip de hack WordPress văzut de Sucuri în timpul răspunsului la incident. În total, 61,65% dintre infecțiile găsite de Sucuri au fost catalogate drept malware. Alte infecții comune au inclus hack-uri în spate, spam SEO, hacktools și hack-uri de phishing.

Top hack-uri WordPress găsite de Sucuri

  1. Programe malware 61,65%
  2. Backdoor – 60,04%
  3. Spam SEO – 52,60%
  4. Hacktool – 20,27%
  5. Phishing – 7,39%
  6. Defaceri – 6,63%
  7. Mailer – 5,92%
  8. Dropper – 0,63%

Programe malware

Malware este cel mai comun tip de hack WordPress găsit de Sucuri. Acesta este un termen larg, care se referă la orice tip de software rău intenționat folosit de infractorii cibernetici pentru a vătăma sau exploata site-ul dvs. WordPress. Cel mai comun tip de malware este PHP.

Programele malware sunt unul dintre cele mai dăunătoare tipuri de infecții de securitate, deoarece, spre deosebire de ușile din spate și spam-ul SEO, adesea expun vizitatorilor site-ului dvs. riscul unui fel de acțiune rău intenționată.

De exemplu, un exemplu comun de malware este o infecție SiteURL/HomeURL, care implică infectarea site-ului dvs. cu un cod care vă redirecționează vizitatorii către domenii rău intenționate sau înșelătorie pentru a le fura detaliile de conectare.

Un alt exemplu este skimming card de credit: un atac bazat pe web în care hackerii injectează cod rău intenționat pe site-urile de comerț electronic pentru a fura informațiile vizitatorilor cărților de credit și de debit. Interesant este că statisticile arată că 34,5% dintre site-urile web infectate cu un skimmer de card de credit rulează pe WordPress.

Ușa din spate

Ușile din spate sunt al doilea cel mai frecvent tip de hack WordPress găsit de Sucuri. După cum sugerează și numele, aceste tipuri de infecții permit hackerilor să ocolească canalele obișnuite de conectare pentru a accesa backend-ul site-ului dvs. printr-o „ușă din spate” secretă și pentru a compromite mediul.

Spam SEO

Spamul SEO este al treilea cel mai frecvent hack găsit de Sucuri și este prezent în peste jumătate din toate infecțiile.

Acest tip de hack implică infectarea site-urilor pentru a îmbunătăți optimizarea motoarelor de căutare și a direcționa traficul către site-uri web terțe prin configurarea de redirecționări, publicarea de postări spam și inserarea de link-uri.

Între timp, acest lucru dăunează scorului SEO al propriului domeniu și poate avea un impact negativ asupra poziției dvs. organice în clasamentul în motoarele de căutare precum Google.

Statistici cheie:

  • 32,2% dintre infecțiile de spam SEO se referă la injectoare de spam, care condimentează mediul compromis cu link-uri de spam ascunse în scopuri SEO.
  • Alte tipuri postează o mulțime de bloguri în scopuri SEO, de obicei pe subiecte spam.
  • 28% dintre infecțiile SEO Spam sunt legate de produse farmaceutice (Viagra, Cialis etc.)
  • 22% au fost legate de spam SEO japonez (aceste campanii poluează rezultatele căutării pe site-ul victimei cu produse de designer imitative și apar în SERP-uri în text japonez.
  • Campaniile de redirecționare indică cel mai adesea către domeniile de nivel superior .ga și .ta

Surse: Sucuri 1

Vulnerabilități de securitate WordPress

În continuare, să ne uităm la câteva statistici WordPress care ne spun mai multe despre vulnerabilitățile de securitate pe care le exploatează cel mai des hackerii.

Care este cea mai mare vulnerabilitate de securitate WordPress?

Temele și pluginurile sunt cele mai mari vulnerabilități de securitate WordPress. 99,42% din toate vulnerabilitățile de securitate din ecosistemul WordPress au provenit de la aceste componente în 2021. Aceasta este o creștere de la 96,22% în 2020.

Pentru a detalia un pic mai mult, 92,81% dintre vulnerabilități au venit din pluginuri și 6,61% din teme.

Dintre pluginurile WordPress vulnerabile, 91,38% erau pluginuri gratuite disponibile prin depozitul WordPress.org, iar doar 8,62% erau pluginuri premium vândute prin piețe terțe precum Envato.

Statistici cheie:

  • 42% dintre site-urile WordPress au cel puțin o componentă vulnerabilă instalată.
  • Interesant este că doar 0,58% dintre vulnerabilitățile de securitate găsite de Patchstack provin din software-ul de bază WordPress.

Topul vulnerabilităților WordPress după tip

Vulnerabilitățile de scripting între site-uri (CSS) reprezintă aproape jumătate (~50%) din toate vulnerabilitățile adăugate bazei de date Patchstack în 2021. Aceasta este în creștere de la 36% în 2020.

Alte vulnerabilități comune în baza de date includ:

  • Alte tipuri de vulnerabilitate combinate – 13,3%
  • Falsificarea cererii între site-uri (CSRF) – 11,2%
  • SQL Injection (SQLi) – 6,8%
  • Încărcare arbitrară de fișiere – 6,8%
  • Autentificare întreruptă – 2,8%
  • Dezvăluirea informațiilor – 2,4%
  • Vulnerabilitatea de ocolire – 1,1%
  • Escalarea privilegiilor – 1,1%
  • Execuție de cod de la distanță (RCE) – 0,9%

Topul vulnerabilităților WordPress în funcție de gravitate

Patchstack clasifică fiecare vulnerabilitate din baza sa de date în funcție de gravitatea acesteia. Utilizează sistemul CVSS (Common Vulnerability Scoring System) pentru a face acest lucru, care atribuie o valoare numerică între 0 și 10 fiecărei vulnerabilități în funcție de gravitatea acesteia.

Majoritatea vulnerabilităților WordPress identificate de Patchstack anul trecut au primit un scor CVSS între 4 și 6,9, ceea ce le face de severitate „Mediu”.

  • 3,4% dintre vulnerabilitățile identificate au fost de severitate critică (scor CVSS 9-10)
  • 17,9% dintre vulnerabilitățile identificate au fost de severitate ridicată (7-8,9 scor CVSS)
  • 76,8% dintre vulnerabilitățile identificate au fost de severitate medie (4-6,9 scor CVSS)
  • 1,9% dintre vulnerabilitățile identificate au fost de severitate scăzută (0,1-3,9 scor CVSS)

Cele mai multe vulnerabilități atacate

Primele patru vulnerabilități „atacate” din baza de date Patchstack au fost:

  • OptinMonster (versiunea 2.7.4 și anterioară) – REST-API neprotejat la divulgarea informațiilor sensibile și acces neautorizat la API
  • Funcții PublishPress (versiunea 2.3 și anterioară) – Modificarea setărilor neautentificate
  • Booster pentru WooCommerce (versiunea 5.4.3 și anterioară) – Bypass de autentificare
  • Image Hover Effects Ultimate (versiunea 9.6.1 și anterioară) – Actualizare neautentificată a opțiunilor arbitrare

Sursa: Sucuri 1 , Patchstack

Statistici de hacking pentru pluginul WordPress

După cum am menționat mai devreme, pluginurile WordPress sunt cea mai comună sursă de vulnerabilități de securitate care permit hackerilor să se infiltreze sau să compromită site-ul dvs. În continuare, ne vom uita la câteva statistici de hacking WordPress care se referă la pluginurile WordPress.

În cazul în care nu știai deja, pluginurile sunt mici aplicații software terțe pe care le poți instala și activa pe site-ul tău WordPress pentru a-și extinde funcționalitatea.

Câte vulnerabilități ale pluginului WordPress există?

Au fost găsite 35 de vulnerabilități critice în pluginurile WordPress în 2021. În mod îngrijorător, două dintre acestea au fost în pluginuri care au avut peste 1 milion de instalări: All in One SEO și WP Fastest Cache.

Vestea bună este că ambele vulnerabilități de mai sus au fost corectate prompt de dezvoltatorii de pluginuri. Cu toate acestea, 29% din numărul total de pluginuri WordPress care s-au dovedit a avea vulnerabilități critice nu au primit un patch.

Care sunt cele mai vulnerabile pluginuri WordPress?

Formularul de contact 7 a fost cel mai frecvent identificat plugin WordPress vulnerabil. A fost găsit în 36,3% din toate site-urile web infectate la punctul de infectare.

Cu toate acestea, este important de subliniat că acest lucru nu înseamnă neapărat că Formularul de contact 7 a fost vectorul de atac pe care l-au exploatat hackerii în aceste cazuri, doar că a contribuit la mediul general nesigur.

TimThumb a fost al doilea cel mai frecvent identificat plugin WordPress vulnerabil la punctul de infectare și a fost găsit în 8,2% din toate site-urile web infectate. Acest lucru este deosebit de surprinzător, având în vedere că vulnerabilitatea TimThumb este veche de peste un deceniu.

Top 10 pluginuri WordPress vulnerabile identificate:

Top Componente WordPress vulnerabile Procent
1. Formular de contact 7 36,3%
2. TimThumb (script de redimensionare a imaginii folosit de teme și pluginuri) 8,2%
3. WooCommerce 7,8%
4. Forme Ninja 6,1%
5. Yoast SEO 3,7%
6. Elementor 3,7%
7. Biblioteca Freemius 3,7%
8. PageBuilder 2,7%
9. Manager de fișiere 2,5%
10. Blocul WooCommerce 2,5%
Sursa: Sucuri

Câte pluginuri WordPress ar trebui să ai?

Cele mai bune practici sugerează că proprietarii de site-uri web și administratorii ar trebui să aibă cât mai puține pluginuri WordPress. Cu cât aveți mai puține plugin-uri, cu atât este mai mic riscul de a întâlni o vulnerabilitate.

Site-ul WordPress mediu are instalate 18 plugin-uri și teme diferite. Este cu 5 mai puțin decât anul trecut și, la suprafață, pare a fi o mișcare în direcția bună.

Cu toate acestea, mai multe dintre aceste pluginuri și teme s-au dovedit a fi depășite anul acesta, comparativ cu anul trecut. În medie, 6 din 18 dintre pluginurile instalate pe site-uri web erau învechite, comparativ cu doar 4 din 23 anul trecut.

Care este cel mai popular plugin de securitate WordPress?

Jetpack este cel mai popular plugin de securitate WordPress din directorul de pluginuri WordPress, cu peste 5 milioane de descărcări. Cu toate acestea, este discutabil dacă Jetpack poate fi sau nu clasificat ca un adevărat plugin de securitate.

Deși include funcții de securitate precum 2FA, detectarea malware și protecția Brute Force, include și alte funcții pentru lucruri precum optimizarea vitezei, analiză și instrumente de proiectare. Acest lucru îl face mai mult un plugin all-in-one decât un plugin de securitate.

În ceea ce privește pluginurile de securitate dedicate , Wordfence este cel mai popular, cu 4 milioane de descărcări în baza de date de pluginuri WordPress.

Vulnerabilitatea temei WordPress

12,4% dintre vulnerabilitățile temei WordPress identificate de Patchstack au avut un scor CVSS critic (9,0 – 10,0). Și, în mod îngrijorător, 10 teme prezentau un risc de securitate CVSS 10.0 care compromite întregul site al utilizatorului printr-o încărcare arbitrară a fișierelor neautentificate și ștergerea opțiunii.

Surse : Patchstack, WordPress 1 , WordPress 2

Cum îți poți proteja site-ul WordPress împotriva piratarii?

Vă puteți proteja site-ul dvs. WordPress de piratare prin reducerea utilizării pluginurilor și temelor, asigurându-vă că actualizați frecvent tot software-ul și corectați vulnerabilitățile identificate și prin consolidarea WordPress.

Iată câteva statistici care dezvăluie mai multe despre creșterea securității site-ului dvs. WordPress.

Cele mai comune recomandări de întărire WordPress

Potrivit datelor de la Sucuri, peste 84% dintre site-uri web nu aveau un firewall pentru aplicații pentru site-uri web (WAF), ceea ce face ca aceasta să fie cea mai importantă recomandare de întărire a WordPress.

WAF-urile ajută la corectarea virtuală a vulnerabilităților cunoscute și la protejarea site-ului dvs. împotriva atacurilor DDoS, a comentariilor spam și a roboților dăunători.

De asemenea, 83% dintre site-uri web lipsesc X-Frame-Options—un antet de securitate care vă ajută să vă îmbunătățiți securitatea, protejându-vă de clickjacking și împiedicând hackerii să vă încorporeze site-ul în altul printr-un iframe. Acest lucru face ca X-Frame-Options să fie a doua cea mai frecventă recomandare de întărire.

Top 5 cele mai frecvente recomandări de întărire detectate de Sucuri:

  1. Lipsește WAF – 84%
  2. Opțiuni X-Frame – 83%
  3. Fără CSP – 82%
  4. Securitate strictă a transportului – 72%
  5. Fără redirecționare către HTTPS – 17%

Cum își protejează administratorii site-urilor site-urile?

Potrivit unui sondaj al administratorilor și proprietarilor de site-uri web, 82% au întreprins întărirea securității, o practică care implică luarea de măsuri pentru a face site-ul WordPress mai dificil de piratat.

Dintre aceștia, 27% au folosit un plugin pentru a-și întări site-ul, 25% au efectuat întărirea manuală și 30% au făcut o combinație a ambelor. Doar 18% nu au făcut nicio întărire.

Statistici cheie:

  • 81% dintre administratorii WordPress intervievați au cel puțin un plugin de firewall instalat
  • 64% dintre administratorii WordPress intervievați folosesc 2FA (autentificare cu doi factori), în timp ce 36% nu
  • 65% dintre administratorii WordPress intervievați folosesc pluginuri de jurnal de activitate.
  • 96% dintre administratorii și proprietarii de site-uri WordPress intervievați consideră securitatea WordPress ca fiind foarte importantă. Și 4% îl consideră oarecum important
  • 43% dintre administratori petrec 1-3 ore pe lună pentru securitatea WordPress
  • 35% dintre administratori petrec peste 3 ore pe lună pentru securitatea WordPress
  • 22% dintre administratori petrec mai puțin de 1 oră pentru securitatea WordPress.

Cum își asigură profesioniștii web site-urile clienților?

Potrivit unui sondaj recent, aproape jumătate dintre profesioniștii web care lucrează cu clienții se bazează pe pluginuri de securitate premium pentru a securiza site-urile web ale clienților lor:

Cele mai bune metode pe care le folosesc profesioniștii web pentru a securiza site-urile clienților:

  • 45,6% plătesc pentru pluginuri de securitate premium
  • 42,4% folosesc pluginuri de securitate gratuite
  • 31,2% plătesc un furnizor profesionist de securitate
  • 28,8% se ocupă de problemele de securitate la nivel intern
  • 24,8% își referă clienții către un furnizor profesionist de securitate
  • 10,4% folosesc alte metode
  • 6,4% le spun clienților să folosească pluginuri gratuite
  • 5,6% nu au un plan pentru securitatea site-ului web

Principalele sarcini de securitate pe care le efectuează profesioniștii web

Actualizarea WordPress (sau orice CMS utilizat de client) și a pluginurilor este cea mai comună sarcină de securitate efectuată de profesioniștii web, trei sferturi dintre toți respondenții la sondaj spunând că acest lucru este ceva ce fac.

Principalele sarcini pe care le îndeplinesc profesioniștii în securitate web pentru clienții lor:

  • 75% actualizează CMS și pluginuri
  • 67% site-uri de rezervă
  • 57% instalează certificate SSL
  • 56% monitorizează sau scanează site-urile web pentru malware
  • 38% remediază site-urile legate de probleme de securitate
  • 34% vulnerabilități de corecție

Cât de des ar trebui să vă actualizați site-ul WordPress?

După cum am menționat mai devreme, păstrarea site-ului dvs. WordPress actualizat este incredibil de importantă din punct de vedere al securității.

Majoritatea managerilor de site își actualizează site-ul săptămânal (35%), dar 20% execută actualizări zilnic, iar 18% fac acest lucru lunar. 21% dintre managerii de site-uri au un fel de actualizări automate configurate, astfel încât să nu fie nevoiți să o facă manual.

Statistici cheie:

  • 52% dintre proprietarii și administratorii WP intervievați au activate actualizările automate pentru software-ul, pluginurile și temele WP.
  • 25% testează întotdeauna actualizările într-un mediu de testare sau de pregătire
  • 32% testează uneori actualizările
  • 17% nu testează niciodată actualizările
  • 26% testează doar actualizările majore

Surse: Sucuri 2 , Sucuri 3 , WP White Security

Costurile hacking-ului WordPress

A fi piratat poate costa companiile o mică avere. Eliminarea profesională a programelor malware costă în medie 613 USD, dar poate costa cu mii sau chiar milioane de dolari mai mult pentru a recupera după o încălcare gravă a datelor.

Pe lângă costurile monetare, hacking-ul WordPress poate afecta indirect, de asemenea, costul companiilor de bani, impactând veniturile și dăunând reputației mărcii.

Cât costă repararea unui site WordPress piratat?

Costul mediu al eliminării malware-ului WordPress este de 613 USD, dar poate varia substanțial de la caz la caz. Individual, prețurile au variat de la 50 USD până la 4.800 USD.

În comparație, plata pentru securitatea site-ului web pentru a vă proteja site-ul de programe malware costă în medie doar 8 USD pe site/lună, ceea ce face ca acest lucru să fie o problemă pentru majoritatea proprietarilor de site-uri.

Cât costă afacerile încălcările de date?

Hackingul este responsabil pentru 45% din încălcările de date din întreaga lume. Și, în medie, costul mediu al unei încălcări a datelor este de 3,86 milioane USD. Dar, desigur, acest lucru variază în funcție de dimensiunea organizației, industrie etc.

Care sunt cele mai mari efecte ale hacking-ului WordPress?

Potrivit profesioniștilor web chestionați, cel mai mare impact al unui hack asupra afacerii clientului lor a fost pierderea de timp (59,2%). Alte efecte negative includ:

  • Pierderea veniturilor – 27,2%
  • Pierderea încrederii clienților – 26,4%
  • Pierderea reputației mărcii – 25,6%
  • Nicio întrerupere – 17,6%

Surse: Patchstack, Statista, Sucuri 3

Care este cea mai sigură versiune de WordPress?

Cea mai sigură versiune de WordPress este întotdeauna cea mai recentă versiune. La momentul scrierii, acesta este WordPress 6.0.2.

Cât de des lansează WordPress actualizări de securitate?

WordPress lansează de obicei mai multe actualizări de securitate și întreținere în fiecare an. Au fost 4 în 2021. Cea mai recentă versiune de securitate (la momentul scrierii acestui articol) a fost WordPress 6.0.2, care a remediat trei probleme de securitate: o vulnerabilitate XSS, o problemă de evadare a ieșirii și o posibilă injecție SQL.

Versiunile vechi de WordPress sunt ușor piratate?

Doar 50,3% dintre site-urile web WordPress s-au dovedit a fi depășite atunci când au fost infectate, ceea ce sugerează că rularea unei versiuni învechite a software-ului WordPress se corelează doar aproximativ cu infecția. Cu toate acestea, cele mai bune practici sugerează că ar trebui să utilizați întotdeauna cea mai recentă versiune de WordPress pentru a minimiza riscul de a fi piratat.

Surse: Sucuri 1 , WordPress 3

Gânduri finale

Cu asta se încheie rezumatul celor mai importante statistici de hacking WordPress pentru 2022. Sperăm că ați găsit aceste date utile!

Dacă doriți să aflați și mai multe despre WordPress, consultați rezumatul nostru de statistici WordPress.

De asemenea, puteți afla mai multe despre cum să vă protejați site-ul de hackeri citind ghidul nostru aprofundat despre cum să îmbunătățiți securitatea WordPress în 2022.

Mult noroc!

A fost utilă această postare?