53 สถิติความปลอดภัยของ WordPress

ไม่มีใครรู้แน่ชัดว่าเว็บไซต์ WordPress ถูกแฮ็กจำนวนเท่าใด แต่ประมาณการที่ดีที่สุดของเราคืออย่างน้อย 13,000 ครั้งต่อวัน นั่นคือประมาณ 9 ต่อนาที 390,000 ต่อเดือน และ 4.7 ล้านต่อปี

มีเว็บไซต์ WordPress 4.3% ที่ถูกแฮ็ก เกือบ 1 ใน 25 ไซต์ WordPress ถูกแฮ็ก

ทุกวันมีเว็บไซต์มากกว่า 30,000 เว็บไซต์ที่ถูกแฮ็ก

10.4% ของไซต์ WordPress มีความเสี่ยงที่จะถูกแฮ็กเนื่องจากใช้ปลั๊กอิน ธีม หรือเวอร์ชัน WordPress ที่ล้าสมัย

ด้วยความนิยมและการใช้งานอย่างแพร่หลาย ทำให้มีการโจมตีเกือบ 90,000 ครั้งผ่าน WordPress ทุกนาที

การใช้ปลั๊กอินป้องกันเนื้อหา WordPress เป็นวิธีที่ดีที่สุด

เราขอแนะนำ WPShield Content Protector เนื่องจากมีตัวป้องกัน 15 แบบที่แตกต่างกัน

ประมาณว่า 8% ของไซต์ WordPress ถูกแฮ็กโดยรหัสผ่านที่ไม่รัดกุมหรือถูกขโมย

เจ้าของเว็บไซต์ควรเลือกรหัสผ่านง่ายๆ เพื่อไม่ให้ลืมรหัสผ่าน แต่ต้องแน่ใจว่ารหัสผ่านนั้นยากพอที่คุณจะจำได้ และแฮ็กเกอร์จะเดารหัสผ่านนั้นไม่ได้

เมื่อไซต์ WordPress ไม่ได้รับการอัปเดตอย่างสม่ำเสมอเพียงพอ ไซต์เหล่านั้นจะมีความเสี่ยงเป็นพิเศษ ไซต์ที่ล้าสมัยทำให้เกิดการโจมตี 61%

อาจดูเหมือนปลอม แต่ WordPress ถูกโจมตีตลอดเวลา

ตามรายงานเว็บไซต์ที่ถูกแฮ็กประจำปีของ Sucuri WordPress เป็น CMS ที่ถูกแฮ็กบ่อยที่สุดในปี 2021

95.6% ของการติดเชื้อ Sucuri ตรวจพบบนเว็บไซต์ WordPress

1- เวิร์ดเพรส – 95.6%

2- จูมล่า – 2.03%

3- Drupal – 0.83%

4- วีโอไอพี – 0.71%

5- OpenCart – 0.35%

เป็นที่น่าสังเกตว่าเพียงเพราะ Sucuri ตรวจพบการติดไวรัสส่วนใหญ่บนไซต์ที่ขับเคลื่อนด้วย WordPress ไม่ได้หมายความว่า WordPress เองนั้นมีความเสี่ยงโดยเนื้อแท้

เวิร์ดเพรส.

เนื่องจาก WordPress เป็น CMS ที่ได้รับความนิยมสูงสุด แฮ็กเกอร์จึงมีแนวโน้มที่จะกำหนดเป้าหมาย

ที่อยู่ IP ที่ไม่ซ้ำกันกว่า 9.7 ล้านรายการพยายามที่จะใช้ประโยชน์จากช่องโหว่ในปี 2020

สถิติเป็นสิ่งที่น่าประทับใจในความคิดของฉัน แต่สิ่งที่น่าประทับใจยิ่งกว่าคือ 99.6% ของการโจมตีทั้งหมดถูกขัดขวางไม่ให้ประสบความสำเร็จโดย Wordfence และที่เหลือถูกหยุดโดยมาตรการรักษาความปลอดภัยอื่นๆ บนเว็บไซต์

รหัสผ่านที่ไม่ปลอดภัยหรือถูกขโมยทำให้ 81% ของ WordPress ถูกแฮ็ก

การโจมตีเกือบทั้งหมดพุ่งเป้าไปที่เว็บไซต์เพื่อลบล้าง จากนั้นจึงพยายามแทรกสคริปต์ที่เป็นอันตราย

รหัสผ่านมักถูกขโมยผ่านการโจมตีแบบเดรัจฉาน ซึ่งแฮ็กเกอร์ใช้ซอฟต์แวร์เพื่อเข้าสู่ระบบเว็บไซต์ด้วยชื่อผู้ใช้และรหัสผ่านแบบสุ่มโดยอัตโนมัติ

ไซต์ WordPress กว่า 18 ล้านไซต์ถูกบุกรุกในปี 2554 เนื่องจากพบช่องโหว่ในปลั๊กอินชื่อ TimThumb

ปลั๊กอินสร้างภาพขนาดย่อของ TimThumb สำหรับ WordPress มีช่องโหว่ในการแทรก SQL

ประมาณว่า 97% ของการโจมตี WordPress เป็นไปโดยอัตโนมัติ

ทำไม เพราะมีประสิทธิภาพและประสิทธิผล

เป็นเรื่องง่ายสำหรับผู้โจมตีที่จะใช้การโจมตีอัตโนมัติเพื่อค้นหาข้อบกพร่องในเว็บไซต์ก่อนที่เจ้าของจะแก้ไขได้ การโจมตีอัตโนมัติก็มีราคาถูกเช่นกัน

แฮ็กเกอร์ไม่จำเป็นต้องจ่ายเงินเพื่อมนุษย์ เพียงแค่แอปพลิเคชันสแกนหาช่องโหว่เป็นเวลาหลายชั่วโมงหรือหลายวัน

คำแนะนำการเสริมความแข็งแกร่งของ WordPress อันดับต้น ๆ มาจาก Sucuri ซึ่งพบว่า 84% ของเว็บไซต์ไม่มีไฟร์วอลล์สำหรับแอปพลิเคชันเว็บไซต์

การใช้ปลั๊กอินความปลอดภัย WordPress เป็นสิ่งสำคัญในการปกป้องเว็บไซต์จากการแฮ็ค

นี่คือคำแนะนำในการชุบแข็ง 5 อันดับแรกที่ Sucuri พบ:

1- WAF ที่ขาดหายไป – 84%

2- ตัวเลือก X-Frame – 83%

3- ไม่มี CSP – 82%

4- การรักษาความปลอดภัยการขนส่งที่เข้มงวด – 72%

5- ไม่มีการเปลี่ยนเส้นทางไปยัง HTTPS – 17%

ปลั๊กอินไฟร์วอลล์อย่างน้อยหนึ่งตัวถูกติดตั้งโดย 81% ของไซต์ WordPress

64% ของผู้ดูแลระบบ WordPress ที่สำรวจใช้ 2FA (การตรวจสอบสิทธิ์สองปัจจัย) ในขณะที่ 36% ไม่ได้ใช้

65% ของผู้ดูแลระบบ WordPress ที่สำรวจใช้ปลั๊กอินบันทึกกิจกรรม

มี 96% ของผู้ดูแลระบบ WordPress และเจ้าของเว็บไซต์ที่มองว่าความปลอดภัยของ WordPress เป็นสิ่งสำคัญมาก และ 4% ที่มองว่าค่อนข้างสำคัญ

43% ของผู้ดูแลระบบใช้เวลา 1-3 ชั่วโมงต่อเดือนกับความปลอดภัยของ WordPress

35% ของผู้ดูแลระบบใช้เวลามากกว่า 3 ชั่วโมงต่อเดือนกับความปลอดภัยของ WordPress

22% ของผู้ดูแลระบบใช้เวลาน้อยกว่า 1 ชั่วโมงในการรักษาความปลอดภัยของ WordPress

เกือบสามในสี่ของผู้ตอบแบบสำรวจทั้งหมดกล่าวว่าการอัปเดตคอร์และปลั๊กอินของ WordPress เป็นงานด้านความปลอดภัยที่พบบ่อยที่สุด

ภารกิจหลักที่ผู้เชี่ยวชาญด้านความปลอดภัยบนเว็บดำเนินการกับไคลเอ็นต์แสดงไว้ที่นี่:

1- 75% อัปเดต CMS และปลั๊กอิน

ไซต์สำรอง 2- 67%

3- 57% ติดตั้งใบรับรอง SSL

4- 56% ตรวจสอบหรือสแกนเว็บไซต์เพื่อหามัลแวร์

5- 38% แก้ไขไซต์ที่เกี่ยวข้องกับปัญหาด้านความปลอดภัย

ช่องโหว่แพตช์ 6- 34%

ขอแนะนำให้ใช้การอัปเดตอัตโนมัติบน WordPress เพื่อให้อัปเดตโดยอัตโนมัติ แต่ขอแนะนำให้อัปเดตปลั๊กอินและธีมทั้งหมดทุกเดือนเป็นอย่างน้อย

เป็นสถิติเกี่ยวกับการอัปเดต WordPress:

1- 35 เปอร์เซ็นต์ของผู้จัดการไซต์ที่อัปเดตเว็บไซต์ทุกสัปดาห์

2- 20 เปอร์เซ็นต์ที่ทำทุกวัน

3- 18 เปอร์เซ็นต์ที่ทำทุกเดือน

4- 21% ใช้ระบบอัปเดตอัตโนมัติ ดังนั้นพวกเขาจึงไม่จำเป็นต้องอัปเดตเว็บไซต์ด้วยตนเอง

สถิติสำคัญเกี่ยวกับการอัปเดตและการทดสอบ WordPress:

→ 52% ของเจ้าของและผู้ดูแลระบบ WP ที่ตอบแบบสำรวจเปิดใช้งานการอัปเดตอัตโนมัติสำหรับซอฟต์แวร์ ปลั๊กอิน และธีมของ WP

→ 25% ทดสอบการอัปเดตในสภาพแวดล้อมการทดสอบหรือการจัดเตรียมก่อนเสมอ

→ 32% บางครั้งทดสอบการอัปเดต

→ 17% ไม่เคยทดสอบการอัปเดต

→26% ทดสอบเฉพาะการอัปเดตหลักเท่านั้น

อาจทำให้คุณประหลาดใจที่ The Panama Papers เปิดเผยอีเมล 4.8 ล้านฉบับ เนื่องจากช่องโหว่ในปลั๊กอิน WordPress

มากกว่า 35% ของผู้ตอบแบบสอบถามใช้เวลาน้อยกว่าหนึ่งชั่วโมงต่อเดือนกับงานรักษาความปลอดภัย ในขณะที่ 22% ใช้เวลามากกว่าสามชั่วโมง

หากไม่นับการโจมตีที่ประสบความสำเร็จ ซอฟต์แวร์ของ Wordfence ป้องกันความพยายามในการเจาะระบบได้มากกว่า 4 พันล้านครั้ง และความพยายามเข้าสู่ระบบที่เป็นอันตรายกว่า 90 พันล้านครั้งในปี 2020

รุ่นถัดไป

แนะนำให้ใช้ WordPress เวอร์ชันล่าสุดเสมอ ในขณะที่เขียนบทความนี้ WordPress 6.1.0 พร้อมใช้งานแล้ว

การอัปเดต WordPress หลายรายการออกในแต่ละปีเพื่อความปลอดภัยและการบำรุงรักษา

มีไซต์ WordPress ที่ล้าสมัยส่วนใหญ่ที่ติดไวรัส ซึ่งแสดงว่า WordPress ที่ล้าสมัยทำงานนั้นเกี่ยวข้องกับการติดไวรัสเพียงเล็กน้อยเท่านั้น

การใช้ WordPress เวอร์ชันล่าสุดจะช่วยลดความเสี่ยงที่แฮ็กเกอร์โจมตีไซต์ของคุณ

มัลแวร์เป็นประเภทของการแฮ็ก WordPress ที่พบได้บ่อยที่สุดที่ Sucuri พบเห็นในระหว่างการตอบสนองต่อเหตุการณ์

แฮ็ค WordPress ยอดนิยมที่พบโดย Sucuri

1- มัลแวร์ 61.65%

2- ประตูหลัง – 60.04%

3- สแปม SEO – 52.60%

4- เครื่องมือแฮ็ก – 20.27%

5- ฟิชชิ่ง – 7.39%

6- การเสียหน้า – 6.63%

7- จดหมาย – 5.92%

8- หยด – 0.63%

ประมาณ 29% ของแฮ็กเกอร์ถูกเจาะโดยช่องโหว่ในธีม WordPress จากการสำรวจไซต์ประมาณ 10,000 แห่ง

จากการประมาณการพบว่า 41% ของเว็บไซต์ทั้งหมดที่โฮสต์โดยผู้ให้บริการถูกโจมตีจากช่องโหว่

เนื่องจากบริษัทโฮสติ้งสามารถถือครองโดเมนได้หลายพันโดเมนในคราวเดียว ดังนั้นเว็บไซต์หลายร้อยแห่งอาจได้รับผลกระทบหากพบข้อผิดพลาด

ช่องโหว่ 38,281 รายการ

99.42% ของช่องโหว่ด้านความปลอดภัยทั้งหมดภายในระบบนิเวศ WordPress ถูกพบในธีมและปลั๊กอินในปี 2021 ซึ่งเพิ่มขึ้นจาก 96.22% ในปี 2020

นอกจากนี้ ช่องโหว่ 92.81% เกิดจากปลั๊กอิน ในขณะที่ 6.61% เกิดจากธีม

42% ของไซต์ WordPress ติดตั้งส่วนประกอบที่มีช่องโหว่อย่างน้อยหนึ่งรายการ

มีการประเมินว่า 91.38% ของปลั๊กอินมีให้ใช้งานฟรีผ่านพื้นที่เก็บข้อมูล WordPress.org ในขณะที่มีเพียง 8.62% เท่านั้นที่มีให้ใช้งานผ่านตลาดของบุคคลที่สาม

เกือบครึ่ง (50%) ของช่องโหว่ในฐานข้อมูลของ Patchstack ในปี 2021 เป็นช่องโหว่แบบ cross-site Scripting

ช่องโหว่ WordPress ที่พบบ่อยที่สุด:

1- การเขียนสคริปต์ข้ามไซต์ (XSS) – 49.82.3%

2- ประเภทช่องโหว่อื่นๆ รวมกัน – 13.3%

3- การปลอมแปลงคำขอข้ามไซต์ (CSRF) – 11.2%

4- การฉีด SQL (SQLi) – 6.8%

5- อัปโหลดไฟล์โดยพลการ – 6.8%

6- การรับรองความถูกต้องที่ใช้งานไม่ได้ – 2.8%

8- 7- การเปิดเผยข้อมูล – 2.4%

9- บายพาสช่องโหว่ – 1.1%

10 - การเพิ่มสิทธิ์ – 1.1%

โดยรวมแล้ว 84% ของช่องโหว่ด้านความปลอดภัยทั้งหมดบนอินเทอร์เน็ตเกิดจากการโจมตีแบบ Cross-site Scripting หรือ XSS

39% ของช่องโหว่ WordPress เกิดจากการข้ามไซต์สคริปต์ (XSS)

52% ของช่องโหว่ทั้งหมดของ WordPress เกิดจากปลั๊กอินที่ล้าสมัย

ซึ่งหมายความว่าคุณสามารถแก้ปัญหา WordPress ได้มากกว่าครึ่งหนึ่งด้วยการอัปเดตปลั๊กอิน

เพียงเพราะไม่เคยถูกแฮ็กในอดีตไม่ได้หมายความว่าจะไม่ถูกแฮ็กในอนาคต ดังนั้นคุณควรอัปเดตปลั๊กอินของคุณอยู่เสมอหากต้องการให้ปลอดภัย

ปลั๊กอิน SEO ปลอมแพร่ระบาดไปยังเว็บไซต์ WordPress กว่า 4,000 แห่ง

ช่องโหว่ด้านความปลอดภัยที่ใหญ่ที่สุดของ WordPress มาจากปลั๊กอิน

WPScan รายงานว่า 52% ของช่องโหว่ WordPress ที่รู้จัก 4,000 รายการมีสาเหตุมาจากปลั๊กอิน เทียบกับ 37% จาก WordPress core และ 11% จากธีม

แบบฟอร์มการติดต่อ 7 เป็นปลั๊กอิน WordPress ที่มีช่องโหว่ซึ่งระบุได้บ่อยที่สุด พบใน 36.3% ของเว็บไซต์ที่ติดไวรัสทั้งหมด ณ จุดที่ติดเชื้อ

อย่างไรก็ตาม สิ่งสำคัญคือต้องชี้ให้เห็นว่านี่ไม่ได้แปลว่า Contact Form 7 เป็นเวคเตอร์การโจมตีที่แฮ็กเกอร์ใช้ในกรณีเหล่านี้ เพียงแต่มีส่วนทำให้เกิดสภาพแวดล้อมที่ไม่ปลอดภัยโดยรวม

TimThumb เป็นปลั๊กอิน WordPress ที่มีช่องโหว่ที่พบมากที่สุดเป็นอันดับสอง ณ จุดที่เกิดการติดไวรัส และพบใน 8.2% ของเว็บไซต์ที่ติดไวรัสทั้งหมด

ตามลำดับของจำนวนปลั๊กอิน WordPress ที่มีช่องโหว่ 10 อันดับแรกมีดังนี้

1- แบบฟอร์มการติดต่อ 7 (36.3%)

2- ทิมธัมบ์ (8.2%)

3- WooCommerce (7.8%)

4- แบบฟอร์มนินจา (6.1%)

5- Yoast SEO (3.7%)

6- องค์ประกอบ (3.7%)

7- ห้องสมุด Freemius (3.7%)

8- ตัวสร้างเพจ (2.7%)

9- ตัวจัดการไฟล์ (2.5%)

10- บล็อก WooCommerce (2.5%)

ราคาส่วนบุคคลมีตั้งแต่ $50 ถึง $4,800 สำหรับการกำจัดมัลแวร์ WordPress แต่ไม่มีค่าธรรมเนียมมาตรฐาน

โดยทั่วไปแล้ว การปกป้องเว็บไซต์ของคุณจากมัลแวร์มีค่าใช้จ่ายเพียง $8 ต่อไซต์/เดือน ทำให้ตัดสินใจได้ง่าย

การละเมิดข้อมูลที่ใหญ่ที่สุดในโลกเกิดขึ้นเนื่องจากการแฮ็ค 45% ของเวลาทั้งหมด

ประมาณ 3.86 ล้านดอลลาร์เป็นราคาเฉลี่ยของการละเมิดข้อมูล แต่แน่นอนว่าอาจแตกต่างกันไปตามขนาดขององค์กร อุตสาหกรรม ฯลฯ

ผู้เชี่ยวชาญด้านเว็บที่ทำการสำรวจคิดว่าสิ่งเหล่านี้เป็นผลกระทบที่สำคัญที่สุดของการแฮ็ก WordPress:

︎ การสูญเสียเวลา – 59.2%

︎ การสูญเสียรายได้ – 27.2%

︎ สูญเสียความมั่นใจของลูกค้า – 26.4%

︎ สูญเสียชื่อเสียงของแบรนด์ – 25.6%

︎ ไม่มีการหยุดชะงัก – 17.6%