53 WordPress Güvenlik İstatistikleri

Kimse tam olarak kaç WordPress web sitesinin saldırıya uğradığını bilmiyor, ancak en iyi tahminimiz günde en az 13.000. Bu, dakikada yaklaşık 9, ayda 390.000 ve yılda 4,7 milyon demek.

Saldırıya uğrayan WordPress sitelerinin %4,3'ü vardı. Neredeyse her 25 WordPress sitesinden 1'i saldırıya uğradı.

Her gün 30.000'den fazla web sitesi saldırıya uğruyor.

WordPress sitelerinin %10,4'ü eski eklentiler, temalar veya WordPress sürümleri nedeniyle saldırıya uğrama riskiyle karşı karşıyaydı.

Popülerliği ve yaygın kullanımı sayesinde WordPress üzerinden her dakika yaklaşık 90.000 saldırı gelmektedir.

Bir WordPress içerik koruma eklentisi kullanmak en iyi yoldur.

İçerdiği 15 farklı koruyucudan dolayı WPShield Content Protector'ı öneriyoruz.

WordPress sitelerinin %8'inin zayıf veya çalıntı parolalar tarafından saldırıya uğradığı tahmin ediliyor.

Web sitesi sahipleri, unutmamaları için basit bir parola seçmelidir, ancak parolanın sizin hatırlayabileceğiniz ve bilgisayar korsanlarının tahmin edemeyecek kadar zor olduğundan emin olun.

WordPress siteleri yeterince düzenli olarak güncellenmediğinde, özellikle savunmasızdırlar. Eski siteler, saldırıların %61'inden sorumludur.

Sahte görünebilir, ancak WordPress her zaman saldırıya uğramaktadır.

Sucuri'nin yıllık saldırıya uğramış web sitesi raporuna göre WordPress, 2021'de en yaygın saldırıya uğrayan CMS oldu.

Sucuri'nin tespit ettiği enfeksiyonların %95,6'sı WordPress sitelerindeydi.

1- WordPress – %95,6

2- Joomla – %2.03

3- Drupal – %0,83

4- Magento – %0,71

5- OpenCart – %0,35

Sucuri'nin WordPress destekli sitelerdeki çoğu enfeksiyonu tespit etmesi, WordPress'in kendisinin doğası gereği savunmasız olduğu anlamına gelmediğini belirtmekte fayda var.

WordPress.

WordPress en popüler CMS olduğundan, bilgisayar korsanlarının onu hedefleme olasılığı daha yüksektir.

2020'de 9,7 milyondan fazla benzersiz IP adresi güvenlik açıklarından yararlanmaya çalıştı.

İstatistikler bence etkileyici, ancak daha da etkileyici olan, tüm açıklardan yararlanmaların %99,6'sının başarılı olmasının Wordfence tarafından engellenmesi ve geri kalanların web sitesindeki diğer güvenlik önlemleri tarafından durdurulmasıdır.

Güvenli olmayan veya çalınan parolalar, WordPress saldırılarının %81'ine neden olur.

Neredeyse tüm saldırılar, tahrifat için web sitelerini hedef aldı, ardından kötü amaçlı komut dosyaları enjekte etmeye çalıştı.

Parolalar genellikle, bilgisayar korsanlarının rastgele kullanıcı adları ve parolalarla web sitelerinde otomatik olarak oturum açmak için yazılım kullandığı kaba kuvvet saldırılarıyla çalınır.

TimThumb adlı bir eklentide bulunan bir güvenlik açığı nedeniyle 2011 yılında 18 milyondan fazla WordPress sitesinin güvenliği ihlal edildi.

WordPress için TimThumb küçük resim oluşturma eklentisinde bir SQL enjeksiyon güvenlik açığı vardı.

WordPress saldırılarının %97'sinin otomatik olduğu tahmin ediliyor.

Neden? Niye? Çünkü verimli ve etkilidirler.

Saldırganların, sahipleri düzeltmeden önce bir web sitesindeki kusurları bulmak için otomatik saldırıları kullanması kolaydır. Otomatik saldırılar da ucuzdur.

Bilgisayar korsanlarının insanlar için ödeme yapması gerekmez, yalnızca güvenlik açıklarını saatlerce veya günlerce tarayan uygulamalar yeterlidir.

En iyi WordPress güçlendirme önerisi, web sitelerinin %84'ünde Web Sitesi Uygulama Güvenlik Duvarı olmadığını bulan Sucuri'den geliyor.

Bir WordPress güvenlik eklentisi kullanmak, web sitelerini bilgisayar korsanlığına karşı korumak için de önemlidir.

Bunlar, Sucuri'nin bulduğu en iyi 5 sertleştirme önerisidir:

1- Eksik WAF – %84

2- X-Frame seçenekleri – %83

3- CSP Yok – %82

4- Sıkı Taşıma Güvenliği – %72

5- HTTPS'ye Yönlendirme Yok – %17

WordPress sitelerinin %81'inde en az bir güvenlik duvarı eklentisi kuruludur.

Ankete katılan WordPress yöneticilerinin %64'ü 2FA (İki faktörlü kimlik doğrulama) kullanırken, %36'sı kullanmıyor.

Ankete katılan WordPress yöneticilerinin %65'i etkinlik günlüğü eklentileri kullanıyor.

WordPress güvenliğini çok önemli bulan WordPress yöneticilerinin ve web sitesi sahiplerinin %96'sı ve biraz önemli bulanların %4'ü vardı.

Yöneticilerin %43'ü ayda 1-3 saatini WordPress güvenliğine harcıyor

Yöneticilerin %35'i ayda 3 saatten fazla WordPress güvenliği için zaman harcıyor

Yöneticilerin %22'si WordPress güvenliği için 1 saatten az zaman harcıyor.

Ankete katılanların neredeyse dörtte üçü, WordPress çekirdeğini ve eklentilerini güncellemenin en yaygın güvenlik görevleri olduğunu söyledi.

Web güvenliği uzmanlarının müşterileri için gerçekleştirdiği en önemli görevler burada listelenmiştir:

1- %75 güncelleme CMS ve eklentileri

2- %67 yedekleme siteleri

3- %57 SSL sertifikaları kurun

4- %56 web sitelerini kötü amaçlı yazılımlara karşı izliyor veya tarıyor

5- %38 güvenlik sorunlarıyla ilgili siteleri düzeltir

6- %34 yama açıkları

Otomatik olarak güncellenmesi için WordPress'te otomatik güncellemeyi kullanmanız önerilir, ancak tüm eklentileri ve temaları en azından aylık olarak güncellemeniz önerilir.

WordPress'i güncellemeyle ilgili istatistikler:

1- Web sitelerini haftalık olarak güncelleyen site yöneticilerinin yüzde 35'i

Her gün yapanların yüzde 2-20'si

3- Her ay yapan yüzde 18

4- %21'i otomatik güncelleme sistemi kullandığı için sitelerini manuel olarak güncellemelerine gerek kalmıyor

WordPress güncellemeleri ve testleri hakkında önemli istatistikler:

→ Ankete katılan WP sahiplerinin ve yöneticilerinin %52'sinde WP yazılımı, eklentileri ve temaları için otomatik güncellemeler etkinleştirilmiştir.

→ %25'i güncellemeleri her zaman önce bir test veya hazırlama ortamında test eder

→ %32 bazen güncellemeleri test ediyor

→ %17'si güncellemeleri asla test etmiyor

→%26 yalnızca büyük güncellemeleri test eder

Panama Belgeleri sızıntısının bir WordPress eklentisindeki bir güvenlik açığı nedeniyle 4,8 milyon e-postayı ifşa etmesi sizi şaşırtabilir.

Yanıt verenlerin %35'inden fazlası güvenlik görevlerine ayda bir saatten az zaman ayırırken, %22'si üç saatten fazla zaman harcıyor.

Wordfence'in yazılımı, başarılı açıkları saymadan, 2020'de 4 milyarın üzerinde istismar girişimini ve 90 milyarın üzerinde kötü niyetli oturum açma girişimini engelledi.

Sonraki sürüm.

WordPress'in en son sürümü her zaman önerilir. Bu yazının yazıldığı tarihte, WordPress 6.1.0 mevcuttur.

Güvenlik ve bakım için her yıl birkaç WordPress güncellemesi yayınlanır.

Güncel olmayan WordPress sitelerinin çoğu virüs bulaşmıştı, bu da güncelliğini yitirmiş WordPress'in enfeksiyonla yalnızca bir şekilde ilişkili olduğunu gösteriyor.

WordPress'in en son sürümünü kullanmak, bilgisayar korsanlarının sitenize saldırma riskini en aza indirecektir.

Kötü amaçlı yazılım, olay müdahalesi sırasında Sucuri tarafından görülen en yaygın WordPress hack türüdür.

Sucuri tarafından bulunan en iyi WordPress hack'leri

1- Kötü amaçlı yazılım %61,65

2- Arka kapı – %60,04

3- SEO Spam – %52,60

4- Hacktool – %20.27

5- Kimlik avı – %7,39

6- Tahrifler – %6,63

7- Posta Göndericisi – %5,92

8- Damlalık – %0,63

Yaklaşık 10.000 site üzerinde yapılan bir ankete göre, bilgisayar korsanlarının yaklaşık %29'u WordPress temasındaki bir güvenlik açığı tarafından saldırıya uğradı.

Tahminlere göre, sağlayıcıları tarafından barındırılan tüm web sitelerinin %41'inde güvenlik açıklarından yararlanılmıştır.

Barındırma şirketleri aynı anda binlerce alan adını tutabildiğinden, bir hata bulunursa yüzlerce web sitesi etkilenebilir.

38.281 güvenlik açığı

2021'de WordPress ekosistemindeki tüm güvenlik açıklarının %99,42'si temalarda ve eklentilerde bulundu. Bu, 2020'de %96,22'den bir artış.

Ayrıca, güvenlik açıklarının %92,81'i eklentilerden, %6,61'i ise temalardan kaynaklanıyordu.

WordPress sitelerinin %42'sinde en az bir savunmasız bileşen kuruludur.

Eklentilerin %91,38'inin WordPress.org deposu aracılığıyla ücretsiz olarak mevcut olduğu tahmin edilirken, yalnızca %8,62'sinin üçüncü taraf pazaryerlerinde mevcut olduğu tahmin edilmektedir.

2021'de Patchstack veritabanındaki güvenlik açıklarının neredeyse yarısı (%50) siteler arası komut dosyası çalıştırma güvenlik açıklarıdır.

En yaygın WordPress güvenlik açıkları:

1- Siteler Arası Komut Dosyası Çalıştırma (XSS) – %49,82,3

2- Diğer güvenlik açığı türleri bir arada – %13,3

3- Siteler Arası İstek Sahteciliği (CSRF) – %11,2

4- SQL Enjeksiyonu (SQLi) – %6,8

5- Rastgele Dosya Yükleme – %6.8

6- Bozuk Kimlik Doğrulama – %2,8

8- 7- Bilgi ifşası – %2,4

9- Baypas Güvenlik Açığı – %1,1

10 - Ayrıcalık Artırımı – %1,1

Toplamda, internetteki tüm güvenlik açıklarının %84'ü siteler arası komut dosyası çalıştırma veya XSS saldırılarından kaynaklanmaktadır.

WordPress güvenlik açıklarının %39'u siteler arası betik çalıştırma (XSS) nedeniyledir.

Tüm WordPress güvenlik açıklarının %52'si eski eklentilerden kaynaklanmaktadır.

Bu, eklentilerinizi güncelleyerek WordPress sorunlarınızın yarısından fazlasını çözebileceğiniz anlamına gelir.

Geçmişte saldırıya uğramamış olmaları gelecekte saldırıya uğramayacakları anlamına gelmez, bu nedenle eklentilerinizi güvende tutmak istiyorsanız her zaman güncel tutmalısınız.

Sahte SEO eklentileri 4.000'den fazla WordPress web sitesine bulaşıyor.

WordPress'in en büyük güvenlik açığı eklentilerden gelir.

WPScan, bilinen 4.000 WordPress güvenlik açığının %52'sinin eklentilerden kaynaklandığını, %37'sinin WordPress çekirdeğinden ve %11'inin temalardan kaynaklandığını bildirdi.

İletişim Formu 7, en yaygın olarak tanımlanan savunmasız WordPress eklentisiydi. Bulaşma noktasında tüm virüslü web sitelerinin %36,3'ünde bulundu.

Ancak bunun, İletişim Formu 7'nin bilgisayar korsanlarının bu durumlarda yararlandığı saldırı vektörü olduğu anlamına gelmediğini, yalnızca genel olarak güvensiz ortama katkıda bulunduğunu belirtmek önemlidir.

TimThumb, bulaşma noktasında en yaygın olarak tanımlanan ikinci savunmasız WordPress eklentisiydi ve virüs bulaşmış tüm web sitelerinin %8,2'sinde bulundu.

Tespit edilen savunmasız WordPress eklentilerinin sayısına göre, işte ilk on:

1- İletişim Formu 7 (%36,3)

2- TimThumb (%8,2)

3- WooCommerce (%7,8)

4- Ninja Formları (%6.1)

5- Yoast SEO (%3.7)

6- Elementor (%3,7)

7- Freemius Kitaplığı (%3,7)

8- Sayfa Oluşturucu (%2,7)

9- Dosya Yöneticisi (%2,5)

10- WooCommerce Bloğu (%2,5)

WordPress kötü amaçlı yazılım temizleme için bireysel fiyatlar 50 ila 4.800 ABD Doları arasında değişmektedir, ancak standart bir ücret yoktur.

Genel olarak, web sitenizi kötü amaçlı yazılımlardan korumanın maliyeti, site/ay başına yalnızca 8 ABD dolarıdır ve bu da onu kolay bir karar haline getirir.

Dünyanın en büyük veri ihlali, zamanın %45'inde bilgisayar korsanlığı nedeniyle gerçekleşiyor

Bir veri ihlalinin ortalama bedeli yaklaşık 3,86 milyon ABD dolarıdır, ancak elbette bu, kuruluşun büyüklüğüne, sektöre vb. göre değişebilir.

Ankete katılan web uzmanları, bunların bir WordPress saldırısının en önemli etkisi olduğunu düşünüyor:

︎ Zaman kaybı – %59,2

︎ Gelir kaybı – %27,2

︎ Müşteri güveninde kayıp – %26,4

︎ Marka itibarında kayıp – %25,6

︎ Kesinti yok – %17,6