WordPress 黑客统计(有多少网站被黑客入侵?)
已发表: 2022-09-23想知道有多少 WordPress 网站被黑? 那么您不会想错过这些 WordPress 黑客统计数据!
WordPress 是世界上最受欢迎的 CMS。 它比任何其他软件都支持更多的网站。 但不幸的是,这种受欢迎程度也使其成为黑客最常见的目标之一。
每年,数以百万计的 WordPress 网站成为网络攻击的受害者。 如果您不想成为该小组的一员,了解情况会有所帮助。
考虑到这一点,我们将分享今年网站所有者和管理员需要知道的 50 多个 WordPress 黑客统计数据。
下面的统计数据将帮助您更多地了解 2022 年 WordPress 安全的当前状态。它们将揭示黑客利用的最常见的网站漏洞,并强调一些可以帮助您保持网站安全的最佳实践。
准备好? 让我们开始吧!
有多少 WordPress 网站被黑客入侵?
没有人确切知道有多少 WordPress 网站被黑,但我们的最佳估计是每天至少 13,000 个。 这大约是每分钟 9 个,每月 390,000 个,每年 470 万个。
我们根据 Sophos 报告称每天有超过 30,000 个网站被黑客入侵,并且所有网站中有 43% 是基于 WordPress 构建的这一事实得出了这一估计。
有多少百分比的 WordPress 网站被黑客入侵?
根据 Sucuri 的数据,2021 年使用 SiteCheck(一种流行的网站安全扫描器)扫描的 WordPress 网站中有 4.3% 被黑客入侵(感染)。 这大约是每 25 个网站中的 1 个。
虽然不是每个 WordPress 网站都会使用 SiteCheck,但这可能很好地表明了被黑客入侵的 WordPress 网站总数的百分比。
Sucuri 还发现 10.4% 的 WordPress 网站有被黑客入侵的风险,因为它们运行的是过时的软件。
最常被黑客入侵的 CMS 平台是什么?
根据 Sucuri 的年度被黑网站报告,WordPress 是 2021 年最常被黑的 CMS(内容管理系统)。 Sucuri 检测到的超过 95.6% 的感染发生在运行 WordPress 的网站上。
被黑最多的 5 大 CMS:
- WordPress – 95.6%
- Joomla – 2.03%
- Drupal – 0.83 %
- Magento – 0.71%
- OpenCart – 0.35%
然而,值得注意的是,Sucuri 检测到的大多数感染都发生在运行 WordPress 的网站上,这并不一定意味着 WordPress 核心软件存在固有的漏洞。
相反,它更可能只是反映了 WordPress 是迄今为止最常用的 CMS,并且 WordPress 用户比其他 CMS 软件的用户更有可能使用像 Sucuri 这样的插件。
资料来源: Sophos、Colorlib、Sucuri 1
什么是最常见的 WordPress 黑客?
恶意软件是 Sucuri 在事件响应期间看到的最常见的 WordPress 黑客攻击类型。 Sucuri 发现的总共 61.65% 的感染被归类为恶意软件。 其他常见的感染包括后门黑客、SEO 垃圾邮件、黑客工具和网络钓鱼黑客。
Sucuri 发现的顶级 WordPress 黑客
- 恶意软件 61.65%
- 后门 – 60.04%
- SEO 垃圾邮件 – 52.60%
- 黑客工具 – 20.27%
- 网络钓鱼 – 7.39%
- 污损 – 6.63%
- 梅勒 – 5.92%
- 滴管 – 0.63%
恶意软件
恶意软件是 Sucuri 发现的最常见的 WordPress 黑客类型。 这是一个广义的、包罗万象的术语,指的是网络犯罪分子用来损害或利用您的 WordPress 网站的任何类型的恶意软件。 最常见的恶意软件类型是 PHP 恶意软件。
恶意软件是最具破坏性的安全感染类型之一,因为与后门和 SEO 垃圾邮件不同,它通常会使您的网站访问者面临某种恶意行为的风险。
例如,恶意软件的一个常见示例是 SiteURL/HomeURL 感染,其中涉及使用将访问者重定向到恶意或诈骗域的代码感染您的网站,以窃取他们的登录详细信息。
另一个例子是信用卡掠夺:一种基于网络的攻击,黑客将恶意代码注入电子商务网站,以窃取访问者的信用卡和借记卡信息。 有趣的是,统计数据显示,34.5% 的感染信用卡撇渣器的网站在 WordPress 上运行。
后门
后门是 Sucuri 发现的第二种最常见的 WordPress 黑客类型。 顾名思义,这些类型的感染允许黑客绕过通常的登录通道,以便通过秘密“后门”访问您网站的后端并破坏环境。
搜索引擎优化垃圾邮件
SEO 垃圾邮件是 Sucuri 发现的第三大最常见的黑客攻击,并且存在于所有感染中的一半以上。
这种类型的黑客攻击涉及感染网站,以便通过设置重定向、发布垃圾邮件帖子和插入链接来改进第三方网站的搜索引擎优化并将流量引导至第三方网站。
同时,这会损害您自己域的 SEO 分数,并可能对您在 Google 等搜索引擎中的自然排名产生负面影响。
主要统计数据:
- 32.2% 的 SEO 垃圾邮件感染与垃圾邮件注入器有关,这些注入器会为受感染的环境添加隐藏的垃圾邮件链接,以达到 SEO 的目的。
- 其他类型出于 SEO 目的发布大量博客,通常是关于垃圾邮件的主题。
- 28% 的 SEO 垃圾邮件感染与药品(伟哥、西力士等)有关
- 22% 与日本 SEO 垃圾邮件有关(这些活动用仿冒的设计师商品污染了受害者的网站搜索结果,并以日语文本出现在 SERP 中。
- 重定向活动最常指向 .ga 和 .ta 顶级域
资料来源: Sucuri 1
WordPress 安全漏洞
接下来,让我们看一些 WordPress 统计数据,这些统计数据告诉我们更多关于黑客最常利用的安全漏洞的信息。
WordPress 最大的安全漏洞是什么?
主题和插件是 WordPress 最大的安全漏洞。 2021 年,WordPress 生态系统中 99.42% 的安全漏洞来自这些组件。这一比例高于 2020 年的 96.22%。
为了进一步细分,92.81% 的漏洞来自插件,6.61% 来自主题。
在易受攻击的 WordPress 插件中,91.38% 是通过 WordPress.org 存储库提供的免费插件,只有 8.62% 是通过 Envato 等第三方市场销售的高级插件。
主要统计数据:
- 42% 的 WordPress 网站至少安装了一个易受攻击的组件。
- 有趣的是,Patchstack 发现的安全漏洞中只有 0.58% 来自核心 WordPress 软件。
按类型划分的顶级 WordPress 漏洞
跨站点脚本漏洞 (CSS) 占 2021 年添加到 Patchstack 数据库的所有漏洞的近一半 (~50%)。这比 2020 年的 36% 有所上升。
数据库中的其他常见漏洞包括:
- 其他漏洞类型加起来 – 13.3%
- 跨站请求伪造 (CSRF) – 11.2%
- SQL 注入 (SQLi) – 6.8%
- 任意文件上传 – 6.8%
- 认证失败 – 2.8%
- 信息披露 – 2.4%
- 绕过漏洞 – 1.1%
- 特权升级 – 1.1%
- 远程代码执行 (RCE) – 0.9%
按严重程度划分的顶级 WordPress 漏洞
Patchstack 根据其严重性对其数据库中的每个漏洞进行排名。 它使用 CVSS 系统(通用漏洞评分系统)来执行此操作,该系统根据其严重性为每个漏洞分配 0 到 10 之间的数值。
Patchstack 去年发现的大多数 WordPress 漏洞的 CVSS 评分都在 4 到 6.9 之间,这使得它们的严重性为“中等”。
- 3.4% 的已识别漏洞为严重严重性(CVSS 评分 9-10)
- 17.9% 的已识别漏洞为高严重性(CVSS 评分 7-8.9)
- 76.8% 的已识别漏洞为中等严重性(CVSS 评分 4-6.9)
- 1.9% 的已识别漏洞为低严重性(0.1-3.9 CVSS 评分)
受攻击最多的漏洞
Patchstack 数据库中排名前四的“被攻击”漏洞是:
- OptinMonster(2.7.4 版及更早版本)– 未受保护的 REST-API 敏感信息披露和未经授权的 API 访问
- PublishPress 功能(2.3 版及更早版本)– 未经身份验证的设置更改
- WooCommerce 助推器(版本 5.4.3 及更早版本)– 身份验证绕过
- Image Hover Effects Ultimate(版本 9.6.1 及更早版本) - 未经身份验证的任意选项更新
资料来源:Sucuri 1 ,补丁堆栈
WordPress插件黑客统计
正如我们前面提到的,WordPress 插件是最常见的安全漏洞来源,允许黑客渗透或破坏您的网站。 接下来,我们将查看一些与 WordPress 插件相关的 WordPress 黑客统计数据。
如果您还不知道,插件是小型第三方软件应用程序,您可以在 WordPress 网站上安装和激活它以扩展其功能。
有多少 WordPress 插件漏洞?
2021 年,在 WordPress 插件中发现了 35 个严重漏洞。令人担忧的是,其中两个位于安装量超过 100 万的插件中:All in One SEO 和 WP Fastest Cache。
好消息是,插件开发人员及时修补了上述两个漏洞。 但是,发现存在严重漏洞的 WordPress 插件总数中有 29% 没有收到补丁。
什么是最容易受到攻击的 WordPress 插件?
Contact Form 7 是最常见的易受攻击的 WordPress 插件。 在感染时,在所有受感染网站的 36.3% 中发现了它。
但是,重要的是要指出,这并不一定意味着 Contact Form 7 是黑客在这些情况下利用的攻击媒介,只是它导致了整个不安全的环境。
TimThumb 是感染时第二常见的易受攻击的 WordPress 插件,在所有受感染网站的 8.2% 中被发现。 鉴于 TimThumb 漏洞已有十多年的历史,这尤其令人惊讶。
排名前 10 位的易受攻击的 WordPress 插件:
| 最易受攻击的 WordPress 组件 | 百分比 |
|---|---|
| 1. 联系表格 7 | 36.3% |
| 2. TimThumb(主题和插件使用的图像大小调整脚本) | 8.2% |
| 3.WooCommerce | 7.8% |
| 4.忍者形态 | 6.1% |
| 5. Yoast 搜索引擎优化 | 3.7% |
| 6.元素 | 3.7% |
| 7. Freemius 图书馆 | 3.7% |
| 8. 页面构建器 | 2.7% |
| 9.文件管理器 | 2.5% |
| 10. WooCommerce 块 | 2.5% |
您应该拥有多少个 WordPress 插件?
最佳实践建议网站所有者和管理员应该尽可能少地使用 WordPress 插件。 您拥有的插件越少,遇到漏洞的风险就越低。
WordPress 网站平均安装了 18 个不同的插件和主题。 这比去年少了 5 次,从表面上看,这似乎是朝着正确方向迈出的一步。
然而,与去年相比,今年发现更多这些插件和主题已经过时。 平均而言,网站上安装的 18 个插件中有 6 个已过时,而去年只有 23 个插件中有 4 个已过时。
什么是最受欢迎的 WordPress 安全插件?
Jetpack 是 WordPress 插件目录中最受欢迎的 WordPress 安全插件,下载量超过 500 万次。 然而,Jetpack 是否可以被归类为真正的安全插件尚有争议。
尽管它包括 2FA、恶意软件检测和蛮力保护等安全功能,但它还包括速度优化、分析和设计工具等其他功能。 这使得它更像是一个多合一插件而不是安全插件。
就专用安全插件而言,Wordfence 是最受欢迎的,在 WordPress 插件数据库上有 400 万次下载。
WordPress主题漏洞
Patchstack 发现的 12.4% 的 WordPress 主题漏洞具有关键的 CVSS 分数(9.0 – 10.0)。 令人担忧的是,10 个主题具有 CVSS 10.0 安全风险,通过未经身份验证的任意文件上传和选项删除来危及用户的整个站点。
来源:补丁堆栈,WordPress 1 ,WordPress 2
如何保护您的 WordPress 网站免受黑客攻击?
您可以通过减少对插件和主题的使用、确保经常更新所有软件并修补已识别的漏洞以及通过 WordPress 强化来保护您的 WordPress 网站免受黑客攻击。
以下是一些统计数据,它们揭示了有关提高 WordPress 网站安全性的更多信息。
最常见的 WordPress 强化建议
根据 Sucuri 的数据,超过 84% 的网站没有网站应用程序防火墙 (WAF),这使其成为 WordPress 最重要的强化建议。
WAF 可帮助虚拟修补已知漏洞并保护您的站点免受 DDoS 攻击、垃圾评论和恶意机器人的攻击。
还发现 83% 的网站缺少 X-Frame-Options - 一个安全标头,可通过保护您免受点击劫持和防止黑客通过 iframe 将您的网站嵌入到另一个网站来帮助提高您的安全性。 这使得 X-Frame-Options 成为第二个最常见的强化建议。
Sucuri 检测到的 5 个最常见的硬化建议:
- 缺少 WAF – 84%
- X-Frame 选项 – 83%
- 无 CSP – 82%
- 严格的运输安全 – 72%
- 不重定向到 HTTPS – 17%
网站管理员如何保护他们的网站?
根据对网站管理员和所有者的调查,82% 的人已经进行了安全强化,这种做法涉及采取措施使您的 WordPress 网站更难被黑客入侵。
其中,27% 的人使用插件来加固他们的网站,25% 的人进行了手动加固,30% 的人将两者结合使用。 只有 18% 的人根本没有进行任何硬化。
主要统计数据:
- 81% 接受调查的 WordPress 管理员至少安装了一个防火墙插件
- 64% 接受调查的 WordPress 管理员使用 2FA(双重身份验证),而 36% 不使用
- 65% 的接受调查的 WordPress 管理员使用活动日志插件。
- 96% 的接受调查的 WordPress 管理员和网站所有者认为 WordPress 安全非常重要。 4% 的人认为它有些重要
- 43% 的管理员每月在 WordPress 安全性上花费 1-3 小时
- 35% 的管理员每月在 WordPress 安全性上花费超过 3 小时
- 22% 的管理员在 WordPress 安全性上花费的时间不到 1 小时。
网络专业人员如何保护他们客户的网站?
根据最近的一项调查,与客户合作的所有网络专业人员中,几乎有一半依赖高级安全插件来保护客户的网站:
网络专业人士用来保护客户网站的主要方法:
- 45.6% 为高级安全插件付费
- 42.4% 使用免费的安全插件
- 31.2% 向专业安全提供商付费
- 28.8% 在内部处理安全问题
- 24.8% 将他们的客户推荐给专业的安全提供商
- 10.4% 使用其他方法
- 6.4% 告诉他们的客户使用免费插件
- 5.6% 没有网站安全计划
Web 专业人员执行的主要安全任务
更新 WordPress(或客户端使用的任何 CMS)和插件是网络专业人员执行的最常见的安全任务,四分之三的受访者表示这是他们所做的事情。
网络安全专业人员为其客户执行的主要任务:
- 75% 更新 CMS 和插件
- 67% 的备份站点
- 57% 安装 SSL 证书
- 56% 监控或扫描网站是否存在恶意软件
- 38% 修复与安全问题相关的网站
- 34% 修补漏洞
您应该多久更新一次 WordPress 网站?
正如我们之前提到的,从安全的角度来看,保持 WordPress 网站的更新非常重要。
大多数站点经理每周更新他们的网站 (35%),但 20% 每天运行更新,18% 每月更新一次。 21% 的站点管理员配置了某种自动更新,因此他们不必手动进行。
主要统计数据:
- 52% 的接受调查的 WP 所有者和管理员为 WP 软件、插件和主题启用了自动更新。
- 25% 总是首先在测试或暂存环境中测试更新
- 32% 有时会测试更新
- 17% 从不测试更新
- 26% 只测试主要更新
资料来源: Sucuri 2 、Sucuri 3 、WP White Security
WordPress黑客的成本
被黑客入侵可能会让企业损失一笔不小的财富。 以专业的方式清除恶意软件平均需要花费 613 美元,但要从严重的数据泄露中恢复可能会花费数千甚至数百万美元。
除了金钱成本外,WordPress 黑客攻击还可以通过影响收入和损害品牌声誉来间接影响成本企业的资金。
修复被黑的 WordPress 网站需要多少钱?
删除 WordPress 恶意软件的平均成本为 613 美元,但这可能因情况而异。 单独来说,价格从 50 美元一直到 4,800 美元不等。
相比之下,支付网站安全费用以保护您的网站免受恶意软件的侵害,平均每个网站每月只需 8 美元,这对于大多数网站所有者来说是轻而易举的事。
数据泄露会给企业造成多少损失?
黑客对全球 45% 的数据泄露事件负责。 平均而言,数据泄露的平均成本为 386 万美元。 但当然,这取决于组织、行业等的规模。
WordPress黑客的最大影响是什么?
根据接受调查的网络专业人士的说法,黑客对其客户业务的最大影响是时间损失(59.2%)。 其他负面影响包括:
- 收入损失 – 27.2%
- 客户信心下降 – 26.4%
- 品牌声誉损失 – 25.6%
- 无中断 – 17.6%
资料来源: Patchstack、Statista、Sucuri 3
什么是最安全的 WordPress 版本?
最安全的 WordPress 版本始终是最新版本。 在撰写本文时,这是 WordPress 6.0.2。
WordPress 多久发布一次安全更新?
WordPress 通常每年都会发布几个安全和维护更新。 2021 年有 4 个。最新的安全版本(在撰写本文时)是 WordPress 6.0.2,它修复了三个安全问题:XSS 漏洞、输出转义问题和可能的 SQL 注入。
旧版本的 WordPress 容易被黑客入侵吗?
只有 50.3% 的 WordPress 网站在被感染时被发现是过时的,这表明运行过时版本的 WordPress 软件仅与感染大致相关。 尽管如此,最佳实践建议您始终使用最新版本的 WordPress,以尽量减少被黑客入侵的风险。
资料来源: Sucuri 1 ,WordPress 3
最后的想法
我们对 2022 年最重要的 WordPress 黑客统计数据的总结到此结束。我们希望您发现这些数据有用!
如果您想了解更多关于 WordPress 的信息,请查看我们的 WordPress 统计汇总。
您还可以通过阅读我们关于如何在 2022 年提高 WordPress 安全性的深入指南,了解有关如何保护您的网站免受黑客攻击的更多信息。
祝你好运!