53 Статистика безопасности WordPress

Никто точно не знает, сколько веб-сайтов WordPress взламывается, но наша лучшая оценка — не менее 13 000 в день. Это около 9 в минуту, 390 000 в месяц и 4,7 миллиона в год.

Было взломано 4,3% сайтов WordPress. Почти 1 из каждых 25 сайтов WordPress был взломан.

Ежедневно взламываются более 30 000 веб-сайтов.

10,4% сайтов WordPress подвергались риску взлома из-за использования устаревших плагинов, тем или версии WordPress.

Благодаря его популярности и широкому использованию через WordPress каждую минуту происходит почти 90 000 атак.

Лучше всего использовать плагин для защиты контента WordPress.

Мы рекомендуем WPShield Content Protector из-за того, что он содержит 15 различных средств защиты.

Подсчитано, что 8% сайтов WordPress взламываются слабыми или украденными паролями.

Владельцы веб-сайтов должны выбрать простой пароль, чтобы они его не забыли, но убедитесь, что он достаточно сложный, чтобы вы могли его запомнить и чтобы хакеры не смогли его угадать.

Когда сайты WordPress недостаточно регулярно обновляются, они особенно уязвимы. Устаревшие сайты вызывают 61% атак.

Это может показаться фальшивкой, но WordPress постоянно подвергается атакам.

Согласно ежегодному отчету Sucuri о взломе веб-сайтов, WordPress был наиболее часто взламываемой CMS в 2021 году.

95,6% заражений, обнаруженных Sucuri, были на сайтах WordPress.

1- WordPress — 95,6%

2- Джумла – 2,03%

3- Друпал — 0,83%

4- Мадженто – 0,71%

5- OpenCart — 0,35%

Стоит отметить, что тот факт, что Sucuri обнаружил большинство заражений на сайтах на базе WordPress, не означает, что сам WordPress изначально уязвим.

Вордпресс.

Поскольку WordPress — самая популярная CMS, хакеры с большей вероятностью нацелятся на нее.

В 2020 году более 9,7 миллиона уникальных IP-адресов пытались использовать уязвимости.

На мой взгляд, статистика впечатляет, но еще более впечатляет то, что 99,6% всех эксплойтов были предотвращены с помощью Wordfence, а остальные были остановлены другими мерами безопасности на сайте.

Ненадежные или украденные пароли являются причиной 81% взломов WordPress.

Почти все атаки были нацелены на сайты для дефейса, а затем пытались внедрить вредоносные скрипты.

Пароли чаще всего крадут с помощью атак грубой силы, когда хакеры используют программное обеспечение для автоматического входа на веб-сайты со случайными именами пользователей и паролями.

В 2011 году более 18 миллионов сайтов WordPress были скомпрометированы из-за уязвимости, обнаруженной в плагине под названием TimThumb.

Плагин для создания эскизов TimThumb для WordPress имел уязвимость SQL-инъекций.

По оценкам, 97% атак на WordPress автоматизированы.

Почему? Потому что они эффективны и эффективны.

Злоумышленникам легко использовать автоматические атаки, чтобы найти недостатки на веб-сайте до того, как их владельцы смогут их исправить. Автоматические атаки также дешевы.

Хакерам не нужно платить за людей, а только за приложения, которые часами или днями сканируют уязвимости.

Главные рекомендации по усилению защиты WordPress исходят от Sucuri, который обнаружил, что 84% веб-сайтов не имеют брандмауэра приложений для веб-сайтов.

Использование плагина безопасности WordPress также важно для защиты веб-сайтов от взлома.

Вот 5 лучших рекомендаций по закалке, найденных Sucuri:

1- Отсутствует WAF – 84%

2- Варианты X-Frame – 83%

3- Нет CSP – 82%

4- Строгая транспортная безопасность – 72%

5- Без перенаправления на HTTPS — 17%

Как минимум один плагин брандмауэра установлен на 81% сайтов WordPress.

64% опрошенных администраторов WordPress используют 2FA (двухфакторную аутентификацию), а 36% — нет.

65% опрошенных администраторов WordPress используют плагины журнала активности.

96% администраторов WordPress и владельцев веб-сайтов считали безопасность WordPress очень важной, а 4% считали ее несколько важной.

43% администраторов тратят 1-3 часа в месяц на безопасность WordPress.

35% администраторов тратят более 3 часов в месяц на безопасность WordPress.

22% администраторов тратят менее 1 часа на безопасность WordPress.

Почти три четверти всех респондентов заявили, что обновление ядра и плагинов WordPress является их самой распространенной задачей безопасности.

Основные задачи, которые специалисты по веб-безопасности выполняют для своих клиентов, перечислены здесь:

1- 75% обновление CMS и плагинов

2- 67% резервных сайтов

3- 57% устанавливают SSL-сертификаты

4- 56 % отслеживают или сканируют веб-сайты на наличие вредоносных программ

5- 38% исправляют сайты, связанные с проблемами безопасности

6- 34% исправление уязвимостей

Рекомендуется использовать автоматическое обновление в WordPress для автоматического обновления, но настоятельно рекомендуется обновлять все плагины и темы как минимум ежемесячно.

Это статистика по обновлению WordPress:

1– 35% менеджеров сайтов, которые еженедельно обновляют свои сайты.

2-20 процентов, которые делают это каждый день

3-18 процентов, которые делают это каждый месяц

4– 21% используют систему автоматического обновления, поэтому им не требуется обновлять свои сайты вручную.

Ключевая статистика об обновлениях и тестировании WordPress:

→ 52% опрошенных владельцев и администраторов WP включили автообновления для программного обеспечения, плагинов и тем WP.

→ 25 % всегда сначала проверяют обновления в тестовой или промежуточной среде

→ 32% иногда тестируют обновления

→ 17% никогда не тестируют обновления

→ 26% тестируют только крупные обновления

Вас может удивить, что утечка Панамских документов раскрыла 4,8 миллиона электронных писем из-за уязвимости в плагине WordPress.

Более 35% респондентов тратят на задачи безопасности менее одного часа в месяц, а 22% — более трех часов.

Не считая успешных эксплойтов, программное обеспечение Wordfence предотвратило более 4 миллиардов попыток эксплойтов и более 90 миллиардов злонамеренных попыток входа в систему в 2020 году.

Следующая версия.

Всегда рекомендуется последняя версия WordPress. На момент написания этой статьи доступен WordPress 6.1.0.

Ежегодно выпускается несколько обновлений WordPress для обеспечения безопасности и обслуживания.

Было заражено большинство устаревших сайтов WordPress, что свидетельствует о том, что запуск устаревшего WordPress лишь в некоторой степени связан с заражением.

Использование последней версии WordPress минимизирует риск атаки хакеров на ваш сайт.

Вредоносное ПО является наиболее распространенным типом взлома WordPress, с которым Sucuri сталкивается во время реагирования на инциденты.

Лучшие взломы WordPress, найденные Sucuri

1- Вредоносное ПО 61,65%

2- Бэкдор – 60,04%

3- SEO-спам – 52,60%

4- Хактул – 20,27%

5- Фишинг – 7,39%

6- порчи – 6,63%

7- Почтовая программа – 5,92%

8- Пипетка – 0,63%

Согласно опросу около 10 000 сайтов, около 29% хакеров были взломаны из-за уязвимости в своей теме WordPress.

По оценкам, 41% всех веб-сайтов, размещенных у их провайдера, подвергались эксплуатации с использованием уязвимостей.

Поскольку хостинговые компании могут одновременно владеть тысячами доменов, в случае обнаружения ошибки могут быть затронуты сотни веб-сайтов.

38 281 уязвимость

99,42% всех уязвимостей безопасности в экосистеме WordPress были обнаружены в темах и плагинах в 2021 году. Это больше, чем 96,22% в 2020 году.

Кроме того, 92,81% уязвимостей были связаны с плагинами, а 6,61% — с темами.

На 42% сайтов WordPress установлен хотя бы один уязвимый компонент.

По оценкам, 91,38% плагинов доступны бесплатно через репозиторий WordPress.org, и только 8,62% доступны через сторонние торговые площадки.

Почти половина (50%) уязвимостей в базе данных Patchstack в 2021 году — это уязвимости межсайтового скриптинга.

Наиболее распространенные уязвимости WordPress:

1- Межсайтовый скриптинг (XSS) – 49,82,3%

2- Другие типы уязвимостей вместе взятые – 13,3%

3- Подделка межсайтовых запросов (CSRF) – 11,2%

4- SQL-инъекция (SQLi) – 6,8%

5- Произвольная загрузка файлов – 6,8%

6- Сломанная аутентификация — 2,8%

8- 7- Раскрытие информации – 2,4%

9- Обход уязвимости – 1,1%

10 - Повышение привилегий – 1,1%

В общей сложности 84% всех уязвимостей безопасности в Интернете вызваны межсайтовым скриптингом или XSS-атаками.

39% уязвимостей WordPress связаны с межсайтовым скриптингом (XSS)

52% всех уязвимостей WordPress связаны с устаревшими плагинами.

Это означает, что вы можете решить более половины своих проблем с WordPress, обновив свои плагины.

Тот факт, что они не были взломаны в прошлом, не означает, что они не будут взломаны в будущем, поэтому вы всегда должны обновлять свои плагины, если хотите обеспечить их безопасность.

Поддельные SEO-плагины заражают более 4000 веб-сайтов WordPress.

Самая большая уязвимость безопасности WordPress связана с плагинами.

WPScan сообщил, что 52% из 4000 известных уязвимостей WordPress вызваны плагинами, по сравнению с 37% ядром WordPress и 11% темами.

Contact Form 7 был наиболее часто упоминаемым уязвимым плагином WordPress. На момент заражения он был обнаружен на 36,3% всех зараженных веб-сайтов.

Однако важно отметить, что это не обязательно означает, что контактная форма 7 была вектором атаки, которую использовали хакеры в этих случаях, а только то, что она способствовала общей небезопасной среде.

TimThumb был вторым наиболее часто выявляемым уязвимым плагином WordPress на момент заражения и был обнаружен на 8,2% всех зараженных веб-сайтов.

В порядке количества выявленных уязвимых плагинов WordPress, вот первая десятка:

1- Контактная форма 7 (36,3%)

2- TimThumb (8,2%)

3- WooCommerce (7,8%)

4- Формы ниндзя (6,1%)

5- Yoast SEO (3,7%)

6- Элементор (3,7%)

7- Библиотека Фримиуса (3,7%)

8- PageBuilder (2,7%)

9- Файловый менеджер (2,5%)

10- Блок WooCommerce (2,5%)

Индивидуальные цены на удаление вредоносных программ WordPress варьировались от 50 до 4800 долларов, но стандартной платы нет.

Как правило, защита вашего веб-сайта от вредоносных программ стоит всего 8 долларов США за сайт в месяц, что делает его простым решением.

Крупнейшая в мире утечка данных происходит из-за взлома в 45% случаев

Приблизительно 3,86 миллиона долларов — это средняя цена утечки данных, но, конечно, она может варьироваться в зависимости от размера организации, отрасли и т. д.

Опрошенные веб-специалисты считают, что это наиболее важные последствия взлома WordPress:

︎ Потеря времени – 59,2%

︎ Упущенная выгода – 27,2%

︎ Потеря доверия клиентов – 26,4%

︎ Потеря репутации бренда – 25,6%

︎ Без сбоев – 17,6%