53 WordPress 安全统计

没有人确切知道有多少 WordPress 网站遭到黑客攻击，但我们的最佳估计是每天至少 13,000 个。 即每分钟约 9 次，每月 39 万次，每年 470 万次。

有 4.3% 的 WordPress 网站遭到黑客攻击。 每 25 个 WordPress 网站中就有近 1 个遭到黑客攻击。

每天，超过 30,000 个网站遭到黑客攻击。

10.4% 的 WordPress 网站因使用过时的插件、主题或 WordPress 版本而面临被黑的风险。

由于它的流行和广泛使用，每分钟有近 90,000 次攻击来自 WordPress。

使用 WordPress 内容保护插件是最好的方法。

我们推荐 WPShield Content Protector，因为它包含 15 种不同的保护器。

据估计，8% 的 WordPress 网站被弱密码或被盗密码入侵。

网站所有者应该选择一个简单的密码，这样他们就不会忘记它，但要确保它足够难，你可以记住它并且黑客无法猜到它。

当 WordPress 网站没有足够定期更新时，它们特别容易受到攻击。 61% 的攻击是由过时的站点引起的。

它可能看起来是假的，但 WordPress 一直在受到攻击。

根据 Sucuri 的年度被黑网站报告，WordPress 是 2021 年最常被黑的 CMS。

Sucuri 检测到的感染中有 95.6% 发生在 WordPress 网站上。

1- WordPress – 95.6%

2- Joomla – 2.03%

3- Drupal – 0.83%

4- Magento – 0.71%

5- OpenCart – 0.35%

值得注意的是，仅仅因为 Sucuri 在 WordPress 支持的网站上检测到大多数感染并不意味着 WordPress 本身就存在漏洞。

WordPress的。

因为 WordPress 是最流行的 CMS，所以黑客更有可能将其作为目标。

2020 年，超过 970 万个唯一 IP 地址试图利用漏洞。

在我看来，这些统计数据令人印象深刻，但更令人印象深刻的是，99.6% 的攻击都被 Wordfence 阻止了，其余的被网站上的其他安全措施阻止了。

不安全或被盗的密码导致 81% 的 WordPress 黑客攻击。

几乎所有的攻击都以破坏网站为目标，然后试图注入恶意脚本。

密码最常通过暴力攻击被窃取，黑客使用软件自动使用随机用户名和密码登录网站。

由于在名为 TimThumb 的插件中发现漏洞，2011 年超过 1800 万个 WordPress 网站遭到入侵。

WordPress 的 TimThumb 缩略图创建插件存在 SQL 注入漏洞。

据估计，97% 的 WordPress 攻击是自动进行的。

为什么？ 因为它们高效且有效。

攻击者很容易使用自动攻击在网站所有者修复之前发现网站中的缺陷。 自动攻击也很便宜。

黑客不需要为人类付费，只需为一次扫描漏洞数小时或数天的应用程序付费。

WordPress 加固的最高推荐来自 Sucuri，他发现 84% 的网站没有网站应用程序防火墙。

使用 WordPress 安全插件对于保护网站免受黑客攻击也是必不可少的。

这些是 Sucuri 发现的前 5 个强化建议：

1- 缺少 WAF – 84%

2- X 框架选项 – 83%

3- 无 CSP – 82%

4- 严格的运输安全 – 72%

5- 不重定向到 HTTPS – 17%

81% 的 WordPress 站点至少安装了一个防火墙插件。

64% 的受调查 WordPress 管理员使用 2FA（双因素身份验证），而 36% 的人不使用。

65% 的受访 WordPress 管理员使用活动日志插件。

96% 的 WordPress 管理员和网站所有者认为 WordPress 安全性非常重要，4% 的人认为它比较重要。

43% 的管理员每月在 WordPress 安全上花费 1-3 小时

35% 的管理员每月在 WordPress 安全上花费超过 3 小时

22% 的管理员花在 WordPress 安全上的时间不到 1 小时。

几乎四分之三的受访者表示，更新 WordPress 核心和插件是他们最常见的安全任务。

此处列出了 Web 安全专业人员为其客户执行的首要任务：

1- 75% 更新 CMS 和插件

2- 67% 备份站点

3- 57% 安装 SSL 证书

4- 56% 监视或扫描网站中的恶意软件

5- 38% 修复与安全问题相关的站点

6- 34% 修补漏洞

建议在 WordPress 上使用自动更新以自动更新，但非常建议至少每月更新所有插件和主题。

这是有关更新 WordPress 的统计信息：

1- 35% 的网站管理员每周更新他们的网站

2- 20% 的人每天都这样做

3- 18% 的人每个月都这样做

4- 21% 使用自动更新系统，因此他们不需要手动更新网站

有关 WordPress 更新和测试的主要统计数据：

→ 52% 的受访 WP 所有者和管理员为 WP 软件、插件和主题启用了自动更新。

→ 25% 始终首先在测试或暂存环境中测试更新

→ 32% 有时会测试更新

→ 17% 从不测试更新

→26% 仅测试主要更新

由于 WordPress 插件中的漏洞，巴拿马文件泄漏暴露了 480 万封电子邮件，这可能会让您感到惊讶。

超过 35% 的受访者每月花在安全任务上的时间不到一小时，而 22% 的受访者每月花在安全任务上的时间超过三个小时。

如果不计算成功的攻击，Wordfence 的软件在 2020 年阻止了超过 40 亿次攻击尝试和超过 900 亿次恶意登录尝试。

下一个版本。

始终推荐使用最新版本的 WordPress。 在撰写本文时，WordPress 6.1.0 可用。

出于安全和维护的考虑，每年都会发布一些 WordPress 更新。

大多数过时的 WordPress 站点都受到了感染，这表明运行过时的 WordPress 仅与感染有某种关联

使用最新版本的 WordPress 将最大限度地降低黑客攻击您网站的风险。

恶意软件是 Sucuri 在事件响应期间发现的最常见的 WordPress 黑客攻击类型。

Sucuri 发现的顶级 WordPress 黑客

1- 恶意软件 61.65%

2- 后门 – 60.04%

3- SEO 垃圾邮件 – 52.60%

4- 黑客工具 – 20.27%

5- 网络钓鱼 – 7.39%

6- 污损 – 6.63%

7- 梅勒 – 5.92%

8- 滴管 – 0.63%

根据对大约 10,000 个站点的调查，大约 29% 的黑客被其 WordPress 主题中的漏洞攻击。

据估计，在其提供商托管的所有网站中，有 41% 的网站存在漏洞。

由于托管公司可以同时拥有数千个域，因此如果发现错误，数百个网站可能会受到影响。

38,281 个漏洞

2021 年，WordPress 生态系统中的所有安全漏洞中有 99.42% 是在主题和插件中发现的。这比 2020 年的 96.22% 有所增加。

此外，92.81% 的漏洞是由插件引起的，而 6.61% 是由主题引起的。

42% 的 WordPress 站点至少安装了一个易受攻击的组件。

据估计，91.38% 的插件可通过 WordPress.org 存储库免费获得，而只有 8.62% 可通过第三方市场获得。

2021 年 Patchstack 数据库中近一半 (50%) 的漏洞是跨站点脚本漏洞。

最常见的 WordPress 漏洞：

1- 跨站脚本 (XSS) – 49.82.3%

2- 其他漏洞类型合计 – 13.3%

3- 跨站请求伪造 (CSRF) – 11.2%

4- SQL 注入 (SQLi) – 6.8%

5- 任意文件上传 – 6.8%

6- 破损的身份验证 – 2.8%

8- 7- 信息披露 – 2.4%

9- 绕过漏洞 – 1.1%

10 - 特权升级 – 1.1%

互联网上总共有 84% 的安全漏洞是由跨站点脚本或 XSS 攻击引起的。

39% 的 WordPress 漏洞是由于跨站点脚本 (XSS)

52% 的 WordPress 漏洞是由过时的插件引起的。

这意味着您可以通过更新插件来解决一半以上的 WordPress 问题。

仅仅因为它们过去没有被黑客攻击并不意味着它们将来不会被黑客攻击，所以如果你想保证它们的安全，你应该始终保持你的插件是最新的。

虚假 SEO 插件感染了 4,000 多个 WordPress 网站。

WordPress 最大的安全漏洞来自插件。

WPScan 报告称，在 4,000 个已知的 WordPress 漏洞中，有 52% 是由插件引起的，而 WordPress 核心漏洞和主题漏洞分别占 37% 和 11%。

Contact Form 7 是最常见的易受攻击的 WordPress 插件。 在感染点的所有受感染网站中，有 36.3% 发现了它。

然而，需要指出的是，这并不一定意味着 Contact Form 7 是黑客在这些情况下利用的攻击媒介，只是它导致了整体不安全的环境。

TimThumb 是感染点第二个最常见的易受攻击的 WordPress 插件，在所有受感染的网站中占 8.2%。

按照已识别的易受攻击的 WordPress 插件数量排序，以下是前十名：

1- 联系表格 7 (36.3%)

2- TimThumb (8.2%)

3- WooCommerce (7.8%)

4- 忍者形态 (6.1%)

5- Yoast SEO (3.7%)

6- 元素 (3.7%)

7- Freemius 图书馆 (3.7%)

8- PageBuilder (2.7%)

9- 文件管理器 (2.5%)

10- WooCommerce 区块 (2.5%)

删除 WordPress 恶意软件的单个价格从 50 美元到 4,800 美元不等，但没有标准费用。

通常，保护您的网站免受恶意软件侵害的费用仅为每个网站每月 8 美元，这使它成为一个简单的决定。

世界上最大的数据泄露事件有 45% 是由于黑客攻击造成的

大约 386 万美元是一次数据泄露的平均价格，当然，这会因组织、行业等的规模而有所不同。

接受调查的网络专业人士认为这些是 WordPress 黑客攻击的最重要影响：

︎ 浪费时间 – 59.2%

︎ 收入损失 – 27.2%

︎ 客户信心丧失 – 26.4%

︎ 品牌声誉损失 – 25.6%

︎ 无中断 – 17.6%