Статистика взлома WordPress (сколько сайтов взломано?)

Опубликовано: 2022-09-23

Хотите узнать, сколько сайтов WordPress было взломано? Тогда вы не захотите пропустить эту статистику взлома WordPress!

WordPress — самая популярная CMS в мире. Он поддерживает больше веб-сайтов, чем любое другое программное обеспечение. Но, к сожалению, эта популярность также делает его одной из самых распространенных целей для хакеров.

Каждый год миллионы веб-сайтов WordPress становятся жертвами кибератак. Если вы не хотите быть частью этой группы, полезно быть в курсе.

Имея это в виду, мы собираемся поделиться более чем 50 статистическими данными о взломах WordPress, которые владельцы и администраторы веб-сайтов должны знать в этом году.

Приведенная ниже статистика поможет вам узнать больше о текущем состоянии безопасности WordPress в 2022 году. Они расскажут о наиболее распространенных уязвимостях веб-сайтов, которые используют хакеры, и расскажут о некоторых передовых методах, которые помогут вам обеспечить безопасность вашего веб-сайта.

Готовый? Давайте начнем!

Сколько сайтов WordPress взломано?

Никто точно не знает, сколько веб-сайтов WordPress взламывается, но наша лучшая оценка — не менее 13 000 в день. Это около 9 в минуту, 390 000 в месяц и 4,7 миллиона в год.

Мы пришли к этой оценке, основываясь на том факте, что Sophos сообщает, что ежедневно взламываются более 30 000 веб-сайтов, а 43% всех веб-сайтов созданы на WordPress.

Какой процент сайтов WordPress взломан?

По данным Sucuri, 4,3% веб-сайтов WordPress, просканированных с помощью SiteCheck (популярный сканер безопасности веб-сайтов) в 2021 году, были взломаны (заражены). Это примерно 1 из каждых 25 веб-сайтов.

Хотя не каждый веб-сайт WordPress будет использовать SiteCheck, тем не менее, это, вероятно, хороший показатель процента взломанных веб-сайтов WordPress.

Sucuri также обнаружил, что 10,4% веб-сайтов WordPress подвержены риску взлома, поскольку они используют устаревшее программное обеспечение.

Какую платформу CMS чаще всего взламывают?

Согласно ежегодному отчету Sucuri о взломе веб-сайта, WordPress был наиболее часто взломанной CMS (системой управления контентом) в 2021 году. Более 95,6% заражений, обнаруженных Sucuri, приходилось на веб-сайты, работающие под управлением WordPress.

Топ-5 самых взламываемых CMS:

  1. WordPress — 95,6%
  2. Джумла — 2,03%
  3. Друпал — 0,83 %
  4. Мадженто — 0,71%
  5. OpenCart — 0,35%

Однако стоит отметить, что тот факт, что Sucuri обнаружил большинство заражений на веб-сайтах, работающих под управлением WordPress, не обязательно означает, что в основном программном обеспечении WordPress есть что-то изначально уязвимое.

Напротив, скорее всего, это просто отражение того факта, что WordPress является наиболее часто используемой CMS, и что пользователи WordPress чаще используют плагины, такие как Sucuri, чем пользователи других программ CMS.

Источники: Sophos, Colorlib, Sucuri 1

Каковы наиболее распространенные взломы WordPress?

Вредоносное ПО является наиболее распространенным типом взлома WordPress, с которым Sucuri сталкивается во время реагирования на инциденты. В общей сложности 61,65% заражений, обнаруженных Sucuri, были отнесены к категории вредоносных программ. Другие распространенные заражения включали хакерские атаки, SEO-спам, хакерские инструменты и фишинговые атаки.

Лучшие взломы WordPress, найденные Sucuri

  1. Вредоносное ПО 61,65%
  2. Бэкдор — 60,04%
  3. SEO-спам — 52,60%
  4. Хактул – 20,27%
  5. Фишинг — 7,39%
  6. Повреждения – 6,63%
  7. Почтовик — 5,92%
  8. Пипетка — 0,63%

Вредоносное ПО

Вредоносное ПО — наиболее распространенный тип взлома WordPress, обнаруженный Sucuri. Это широкий, всеобъемлющий термин, который относится к любому виду вредоносного программного обеспечения, используемого киберпреступниками для нанесения вреда или использования вашего веб-сайта WordPress. Наиболее распространенным типом вредоносного ПО является вредоносное ПО PHP.

Вредоносное ПО является одним из наиболее разрушительных типов заражения системы безопасности, поскольку, в отличие от бэкдоров и SEO-спама, оно часто подвергает посетителей вашего сайта риску каких-либо вредоносных действий.

Например, одним из распространенных примеров вредоносных программ является заражение SiteURL/HomeURL, которое включает заражение вашего сайта кодом, который перенаправляет ваших посетителей на вредоносные или мошеннические домены с целью кражи их данных для входа.

Другим примером является скимминг кредитных карт: веб-атака, при которой хакеры внедряют вредоносный код на веб-сайты электронной коммерции, чтобы украсть информацию о кредитных и дебетовых картах посетителей. Интересно, что статистика показывает, что 34,5% веб-сайтов, зараженных скиммером кредитных карт, работают на WordPress.

Черный ход

Бэкдоры — второй по распространенности тип взлома WordPress, обнаруженный Sucuri. Как следует из названия, эти типы инфекций позволяют хакерам обходить обычные каналы входа в систему, чтобы получить доступ к серверной части вашего веб-сайта через секретный «черный ход» и поставить под угрозу среду.

SEO-спам

SEO-спам является третьим наиболее распространенным взломом, обнаруженным Sucuri, и присутствует более чем в половине всех заражений.

Этот тип взлома включает в себя заражение сайтов с целью улучшения поисковой оптимизации и направления трафика на сторонние веб-сайты путем настройки перенаправлений, публикации спам-сообщений и вставки ссылок.

Между тем, это наносит ущерб рейтингу SEO вашего собственного домена и может негативно повлиять на вашу позицию в органическом рейтинге в поисковых системах, таких как Google.

Ключевая статистика:

  • 32,2% заражений SEO-спамом связаны с инжекторами спама, которые добавляют в скомпрометированную среду скрытые спам-ссылки для целей SEO.
  • Другие типы публикуют массу блогов в целях SEO, обычно на спамные темы.
  • 28% заражений SEO-спамом связаны с фармацевтическими препаратами (виагра, сиалис и т. д.)
  • 22% были связаны с японским SEO-спамом (эти кампании загрязняют результаты поиска на веб-сайте жертвы поддельными дизайнерскими товарами и появляются в поисковой выдаче с текстом на японском языке.
  • Кампании с переадресацией чаще всего указывают на домены верхнего уровня .ga и .ta.

Источники: Сукури 1

Уязвимости безопасности WordPress

Далее давайте посмотрим на статистику WordPress, которая расскажет нам больше об уязвимостях безопасности, которые чаще всего используют хакеры.

Какая самая большая уязвимость в системе безопасности WordPress?

Темы и плагины — самые большие уязвимости безопасности WordPress. 99,42% всех уязвимостей безопасности в экосистеме WordPress были связаны с этими компонентами в 2021 году. Это больше, чем 96,22% в 2020 году.

Чтобы разбить это немного дальше, 92,81% уязвимостей были связаны с плагинами и 6,61% с темами.

Среди уязвимых плагинов WordPress 91,38% были бесплатными плагинами, доступными через репозиторий WordPress.org, и только 8,62% — премиум-плагинами, проданными через сторонние торговые площадки, такие как Envato.

Ключевая статистика:

  • На 42% сайтов WordPress установлен хотя бы один уязвимый компонент.
  • Интересно, что только 0,58% уязвимостей безопасности, обнаруженных Patchstack, связаны с основным программным обеспечением WordPress.

Основные уязвимости WordPress по типу

Уязвимости межсайтового скриптинга (CSS) составляют почти половину (~ 50%) всех уязвимостей, добавленных в базу данных Patchstack в 2021 году. Это больше, чем 36% в 2020 году.

Другие распространенные уязвимости в базе данных включают в себя:

  • Другие типы уязвимостей вместе взятые – 13,3%
  • Межсайтовая подделка запросов (CSRF) — 11,2%
  • SQL-инъекция (SQLi) — 6,8%
  • Произвольная загрузка файлов — 6,8%
  • Сломанная аутентификация — 2,8%
  • Раскрытие информации – 2,4%
  • Обход уязвимости — 1,1%
  • Повышение привилегий — 1,1%
  • Удаленное выполнение кода (RCE) — 0,9%

Основные уязвимости WordPress по серьезности

Patchstack ранжирует каждую уязвимость в своей базе данных в соответствии с ее серьезностью. Для этого используется система CVSS (общая система оценки уязвимостей), которая присваивает числовое значение от 0 до 10 каждой уязвимости в зависимости от ее серьезности.

Большинство уязвимостей WordPress, выявленных Patchstack в прошлом году, получили оценку CVSS от 4 до 6,9, что делает их серьезность «средней».

  • 3,4% выявленных уязвимостей имели критический уровень серьезности (9–10 баллов по шкале CVSS).
  • 17,9% выявленных уязвимостей имели высокую степень серьезности (7–8,9 баллов по шкале CVSS).
  • 76,8% выявленных уязвимостей были средней степени серьезности (4-6,9 баллов по шкале CVSS).
  • 1,9% выявленных уязвимостей имели низкий уровень серьезности (0,1–3,9 балла CVSS).

Наиболее часто атакуемые уязвимости

В базу данных Patchstack вошли четыре основных «атакуемых» уязвимости:

  • OptinMonster (версия 2.7.4 и ранее) — незащищенный REST-API для раскрытия конфиденциальной информации и несанкционированного доступа к API
  • Возможности PublishPress (версия 2.3 и более ранние) — изменение настроек без проверки подлинности
  • Booster для WooCommerce (версия 5.4.3 и ранее) — обход аутентификации
  • Image Hover Effects Ultimate (версия 9.6.1 и ранее) — обновление произвольных параметров без проверки подлинности

Источник: Sucuri 1 , стек патчей

Статистика взломов плагинов WordPress

Как мы упоминали ранее, плагины WordPress являются наиболее распространенным источником уязвимостей в системе безопасности, которые позволяют хакерам проникнуть на ваш сайт или взломать его. Далее мы рассмотрим некоторую статистику взлома WordPress, относящуюся к плагинам WordPress.

Если вы еще не знали, плагины — это небольшие сторонние программные приложения, которые вы можете установить и активировать на своем сайте WordPress для расширения его функциональности.

Сколько существует уязвимостей плагинов WordPress?

В 2021 году в плагинах WordPress было обнаружено 35 критических уязвимостей. К сожалению, две из них были в плагинах, которые были установлены более 1 миллиона раз: All in One SEO и WP Fastest Cache.

Хорошая новость заключается в том, что обе вышеперечисленные уязвимости были оперативно исправлены разработчиками плагина. Однако 29% от общего числа плагинов WordPress, в которых обнаружены критические уязвимости, не были исправлены.

Какие самые уязвимые плагины WordPress?

Contact Form 7 был наиболее часто упоминаемым уязвимым плагином WordPress. На момент заражения он был обнаружен на 36,3% всех зараженных веб-сайтов.

Однако важно отметить, что это не обязательно означает, что контактная форма 7 была вектором атаки, которую использовали хакеры в этих случаях, а только то, что она способствовала общей небезопасной среде.

TimThumb был вторым наиболее часто выявляемым уязвимым плагином WordPress на момент заражения и был обнаружен на 8,2% всех зараженных веб-сайтов. Это особенно удивительно, учитывая, что уязвимости TimThumb уже более десяти лет.

Топ-10 выявленных уязвимых плагинов WordPress:

Самые уязвимые компоненты WordPress Процент
1. Контактная форма 7 36,3%
2. TimThumb (скрипт изменения размера изображения, используемый темами и плагинами) 8,2%
3. Вукоммерция 7,8%
4. Формы ниндзя 6,1%
5. Йост SEO 3,7%
6. Элементор 3,7%
7. Библиотека Фримиуса 3,7%
8. Построитель страниц 2,7%
9. Файловый менеджер 2,5%
10. Блок WooCommerce 2,5%
Источник: Сукури

Сколько плагинов WordPress у вас должно быть?

Лучшие практики предполагают, что владельцы и администраторы веб-сайтов должны иметь как можно меньше плагинов WordPress. Чем меньше у вас плагинов, тем ниже риск столкнуться с уязвимостью.

На среднем сайте WordPress установлено 18 различных плагинов и тем. Это на 5 меньше, чем в прошлом году, и на первый взгляд кажется, что это движение в правильном направлении.

Однако в этом году было обнаружено, что больше этих плагинов и тем устарели по сравнению с прошлым годом. В среднем 6 из 18 плагинов, установленных на веб-сайтах, устарели, по сравнению с 4 из 23 в прошлом году.

Какой самый популярный плагин безопасности WordPress?

Jetpack — самый популярный плагин безопасности WordPress в каталоге плагинов WordPress с более чем 5 миллионами загрузок. Тем не менее, вопрос о том, можно ли классифицировать Jetpack как настоящий плагин безопасности, остается спорным.

Хотя он включает в себя функции безопасности, такие как 2FA, обнаружение вредоносных программ и защиту от грубой силы, он также включает в себя другие функции для таких вещей, как оптимизация скорости, аналитика и инструменты проектирования. Это делает его скорее универсальным плагином, чем плагином безопасности.

Что касается специализированных плагинов безопасности, Wordfence является самым популярным, с 4 миллионами загрузок в базе данных плагинов WordPress.

Уязвимости темы WordPress

12,4% уязвимостей темы WordPress, выявленных Patchstack, имели критический балл CVSS (9,0–10,0). И, что тревожно, 10 тем имели угрозу безопасности CVSS 10.0, которая ставит под угрозу весь сайт пользователя из-за загрузки произвольного файла без проверки подлинности и удаления параметров.

Источники : Patchstack, WordPress 1 , WordPress 2

Как вы можете защитить свой сайт WordPress от взлома?

Вы можете защитить свой веб-сайт WordPress от взлома, сократив использование плагинов и тем, убедившись, что вы часто обновляете все программное обеспечение и исправляете обнаруженные уязвимости, а также за счет усиления защиты WordPress.

Вот некоторые статистические данные, которые раскрывают больше о повышении безопасности вашего веб-сайта WordPress.

Наиболее распространенные рекомендации по укреплению безопасности WordPress

Согласно данным Sucuri, более 84% веб-сайтов не имеют брандмауэра веб-приложений (WAF), что делает его главной рекомендацией по усилению защиты WordPress.

WAF помогают виртуально исправить известные уязвимости и защитить ваш сайт от DDoS-атак, спама в комментариях и вредоносных ботов.

Также было обнаружено, что на 83% веб-сайтов отсутствует X-Frame-Options — заголовок безопасности, который помогает повысить вашу безопасность, защищая вас от кликджекинга и не позволяя хакерам встраивать ваш веб-сайт в другой через iframe. Это делает X-Frame-Options второй наиболее распространенной рекомендацией по усилению защиты.

Топ-5 самых распространенных рекомендаций по закалке, обнаруженных Sucuri:

  1. Отсутствует WAF – 84%
  2. Варианты X-Frame — 83%
  3. Нет CSP — 82%
  4. Строгая транспортная безопасность – 72%
  5. Без перенаправления на HTTPS — 17%

Как администраторы веб-сайтов защищают свои сайты?

Согласно опросу администраторов и владельцев веб-сайтов, 82% из них предприняли меры по усилению безопасности, что включает в себя принятие мер, чтобы сделать ваш сайт WordPress более трудным для взлома.

Из них 27 % использовали плагин для усиления защиты своего сайта, 25 % выполняли усиление вручную, а 30 % применяли и то, и другое одновременно. Только 18% вообще не делали закалки.

Ключевая статистика:

  • 81% опрошенных администраторов WordPress установили хотя бы один плагин брандмауэра.
  • 64% опрошенных администраторов WordPress используют 2FA (двухфакторную аутентификацию), а 36% — нет.
  • 65% опрошенных администраторов WordPress используют плагины журнала активности.
  • 96% опрошенных администраторов WordPress и владельцев веб-сайтов считают безопасность WordPress очень важной. И 4% считают это несколько важным
  • 43% администраторов тратят 1-3 часа в месяц на безопасность WordPress.
  • 35% администраторов тратят более 3 часов в месяц на безопасность WordPress.
  • 22% администраторов тратят менее 1 часа на безопасность WordPress.

Как веб-профессионалы защищают сайты своих клиентов?

Согласно недавнему опросу, почти половина всех веб-специалистов, работающих с клиентами, полагаются на подключаемые модули безопасности премиум-класса для защиты веб-сайтов своих клиентов:

Лучшие методы, которые используют веб-профессионалы для защиты клиентских сайтов:

  • 45,6% платят за премиальные плагины безопасности
  • 42,4% используют бесплатные плагины безопасности
  • 31,2% платят профессиональным охранникам
  • 28,8% занимаются вопросами безопасности самостоятельно
  • 24,8% направляют своих клиентов к профессиональным охранникам
  • 10,4% используют другие методы
  • 6,4% советуют своим клиентам использовать бесплатные плагины
  • 5,6% не имеют плана по обеспечению безопасности веб-сайта

Основные задачи по обеспечению безопасности, которые выполняют веб-профессионалы

Обновление WordPress (или любой другой CMS, которую использует клиент) и плагинов является наиболее распространенной задачей безопасности, выполняемой веб-профессионалами, и три четверти всех респондентов говорят, что они этим занимаются.

Основные задачи, которые специалисты по веб-безопасности выполняют для своих клиентов:

  • 75% обновляют CMS и плагины
  • 67% резервных сайтов
  • 57% устанавливают SSL-сертификаты
  • 56% отслеживают или сканируют веб-сайты на наличие вредоносных программ
  • 38% исправляют сайты, связанные с проблемами безопасности
  • 34% исправлены уязвимости

Как часто вы должны обновлять свой сайт WordPress?

Как мы упоминали ранее, постоянное обновление вашего веб-сайта WordPress невероятно важно с точки зрения безопасности.

Большинство менеджеров сайтов обновляют свои веб-сайты еженедельно (35%), но 20% запускают обновления ежедневно, а 18% — ежемесячно. 21% менеджеров сайтов настроили какие-либо автоматические обновления, поэтому им не нужно делать это вручную.

Ключевая статистика:

  • 52% опрошенных владельцев и администраторов WP включили автообновления для программного обеспечения, плагинов и тем WP.
  • 25 % всегда сначала проверяют обновления в тестовой или промежуточной среде.
  • 32% иногда тестируют обновления
  • 17% никогда не тестируют обновления
  • 26% тестируют только основные обновления

Источники: Sucuri 2 , Sucuri 3 , WP White Security

Стоимость взлома WordPress

Взлом может стоить компаниям небольшого состояния. Профессиональное удаление вредоносных программ стоит в среднем 613 долларов, но восстановление после серьезной утечки данных может стоить тысячи или даже миллионы долларов.

Помимо денежных затрат, взлом WordPress также может косвенно повлиять на затраты бизнеса, влияя на доходы и нанося ущерб репутации бренда.

Сколько стоит исправить взломанный сайт WordPress?

Средняя стоимость удаления вредоносного ПО для WordPress составляет 613 долларов, но она может существенно различаться в зависимости от случая. По отдельности цены варьировались от 50 до 4800 долларов.

Для сравнения, плата за безопасность веб-сайта для защиты вашего сайта от вредоносных программ стоит в среднем всего 8 долларов США за сайт в месяц, что делает это легкой задачей для большинства владельцев сайтов.

Во сколько утечка данных обходится бизнесу?

Хакерство является причиной 45% утечек данных во всем мире. А в среднем средняя стоимость утечки данных составляет 3,86 миллиона долларов. Но, конечно, это зависит от размера организации, отрасли и т. д.

Каковы самые большие последствия взлома WordPress?

По мнению опрошенных веб-специалистов, наибольшее влияние взлома на бизнес их клиентов оказала потеря времени (59,2%). К другим негативным воздействиям относятся:

  • Упущенная выгода – 27,2%
  • Потеря доверия клиентов – 26,4%
  • Потеря репутации бренда – 25,6%
  • Без сбоев – 17,6%

Источники: Patchstack, Statista, Sucuri 3 .

Какая самая безопасная версия WordPress?

Самая безопасная версия WordPress всегда является последней версией. На момент написания это WordPress 6.0.2.

Как часто WordPress выпускает обновления безопасности?

WordPress обычно выпускает несколько обновлений безопасности и обслуживания каждый год. В 2021 году их было 4. Последним выпуском безопасности (на момент написания статьи) был WordPress 6.0.2, в котором были исправлены три проблемы безопасности: уязвимость XSS, проблема экранирования вывода и возможная инъекция SQL.

Легко ли взламываются старые версии WordPress?

Было обнаружено, что только 50,3% веб-сайтов WordPress устарели при заражении, что говорит о том, что использование устаревшей версии программного обеспечения WordPress лишь приблизительно коррелирует с заражением. Тем не менее, лучшие практики предполагают, что вы всегда должны использовать последнюю версию WordPress, чтобы свести к минимуму риск взлома.

Источники: Sucuri 1 , WordPress 3

Последние мысли

На этом мы завершаем наш обзор самой важной статистики взломов WordPress за 2022 год. Мы надеемся, что вы нашли эти данные полезными!

Если вы хотите узнать еще больше о WordPress, ознакомьтесь с нашим обзором статистики WordPress.

Вы также можете узнать больше о том, как защитить свой сайт от хакеров, прочитав наше подробное руководство о том, как улучшить безопасность WordPress в 2022 году.

Удачи!

Был ли этот пост полезен?