WordPress 黑客統計(有多少網站被黑客入侵?)
已發表: 2022-09-23想知道有多少 WordPress 網站被黑? 那麼您不會想錯過這些 WordPress 黑客統計數據!
WordPress 是世界上最受歡迎的 CMS。 它比任何其他軟件都支持更多的網站。 但不幸的是,這種受歡迎程度也使其成為黑客最常見的目標之一。
每年,數以百萬計的 WordPress 網站成為網絡攻擊的受害者。 如果您不想成為該小組的一員,了解情況會有所幫助。
考慮到這一點,我們將分享今年網站所有者和管理員需要知道的 50 多個 WordPress 黑客統計數據。
下面的統計數據將幫助您更多地了解 2022 年 WordPress 安全的當前狀態。它們將揭示黑客利用的最常見的網站漏洞,並強調一些可以幫助您保持網站安全的最佳實踐。
準備好? 讓我們開始吧!
有多少 WordPress 網站被黑客入侵?
沒有人確切知道有多少 WordPress 網站被黑,但我們的最佳估計是每天至少 13,000 個。 這大約是每分鐘 9 個,每月 390,000 個,每年 470 萬個。
我們根據 Sophos 報告稱每天有超過 30,000 個網站被黑客入侵,並且所有網站中有 43% 是基於 WordPress 構建的這一事實得出了這一估計。
有多少百分比的 WordPress 網站被黑客入侵?
根據 Sucuri 的數據,2021 年使用 SiteCheck(一種流行的網站安全掃描器)掃描的 WordPress 網站中有 4.3% 被黑客入侵(感染)。 這大約是每 25 個網站中的 1 個。
雖然不是每個 WordPress 網站都會使用 SiteCheck,但這可能很好地表明了被黑客入侵的 WordPress 網站總數的百分比。
Sucuri 還發現 10.4% 的 WordPress 網站有被黑客入侵的風險,因為它們運行的是過時的軟件。
最常被黑客入侵的 CMS 平台是什麼?
根據 Sucuri 的年度被黑網站報告,WordPress 是 2021 年最常被黑的 CMS(內容管理系統)。 Sucuri 檢測到的超過 95.6% 的感染髮生在運行 WordPress 的網站上。
被黑最多的 5 大 CMS:
- WordPress – 95.6%
- Joomla – 2.03%
- Drupal – 0.83 %
- Magento – 0.71%
- OpenCart – 0.35%
然而,值得注意的是,Sucuri 檢測到的大多數感染都發生在運行 WordPress 的網站上,這並不一定意味著 WordPress 核心軟件存在固有的漏洞。
相反,它更可能只是反映了 WordPress 是迄今為止最常用的 CMS,並且 WordPress 用戶比其他 CMS 軟件的用戶更有可能使用像 Sucuri 這樣的插件。
資料來源: Sophos、Colorlib、Sucuri 1
什麼是最常見的 WordPress 黑客?
惡意軟件是 Sucuri 在事件響應期間看到的最常見的 WordPress 黑客攻擊類型。 Sucuri 發現的總共 61.65% 的感染被歸類為惡意軟件。 其他常見的感染包括後門黑客、SEO 垃圾郵件、黑客工具和網絡釣魚黑客。
Sucuri 發現的頂級 WordPress 黑客
- 惡意軟件 61.65%
- 後門 – 60.04%
- SEO 垃圾郵件 – 52.60%
- 黑客工具 – 20.27%
- 網絡釣魚 – 7.39%
- 污損 – 6.63%
- 梅勒 – 5.92%
- 滴管 – 0.63%
惡意軟件
惡意軟件是 Sucuri 發現的最常見的 WordPress 黑客類型。 這是一個廣義的、包羅萬象的術語,指的是網絡犯罪分子用來損害或利用您的 WordPress 網站的任何類型的惡意軟件。 最常見的惡意軟件類型是 PHP 惡意軟件。
惡意軟件是最具破壞性的安全感染類型之一,因為與後門和 SEO 垃圾郵件不同,它通常會使您的網站訪問者面臨某種惡意行為的風險。
例如,惡意軟件的一個常見示例是 SiteURL/HomeURL 感染,其中涉及使用將訪問者重定向到惡意或詐騙域的代碼感染您的網站,以竊取他們的登錄詳細信息。
另一個例子是信用卡掠奪:一種基於網絡的攻擊,黑客將惡意代碼注入電子商務網站,以竊取訪問者的信用卡和借記卡信息。 有趣的是,統計數據顯示,34.5% 的感染信用卡撇渣器的網站在 WordPress 上運行。
後門
後門是 Sucuri 發現的第二種最常見的 WordPress 黑客類型。 顧名思義,這些類型的感染允許黑客繞過通常的登錄通道,以便通過秘密“後門”訪問您網站的後端並破壞環境。
搜索引擎優化垃圾郵件
SEO 垃圾郵件是 Sucuri 發現的第三大最常見的黑客攻擊,並且存在於所有感染中的一半以上。
這種類型的黑客攻擊涉及感染網站,以便通過設置重定向、發布垃圾郵件帖子和插入鏈接來改進第三方網站的搜索引擎優化並將流量引導至第三方網站。
同時,這會損害您自己域的 SEO 分數,並可能對您在 Google 等搜索引擎中的自然排名產生負面影響。
主要統計數據:
- 32.2% 的 SEO 垃圾郵件感染與垃圾郵件注入器有關,這些注入器會為受感染的環境添加隱藏的垃圾郵件鏈接,以達到 SEO 的目的。
- 其他類型出於 SEO 目的發布大量博客,通常是關於垃圾郵件的主題。
- 28% 的 SEO 垃圾郵件感染與藥品(偉哥、西力士等)有關
- 22% 與日本 SEO 垃圾郵件有關(這些活動用仿冒的設計師商品污染了受害者的網站搜索結果,並以日語文本出現在 SERP 中。
- 重定向活動最常指向 .ga 和 .ta 頂級域
資料來源: Sucuri 1
WordPress 安全漏洞
接下來,讓我們看一些 WordPress 統計數據,這些統計數據告訴我們更多關於黑客最常利用的安全漏洞的信息。
WordPress 最大的安全漏洞是什麼?
主題和插件是 WordPress 最大的安全漏洞。 2021 年,WordPress 生態系統中 99.42% 的安全漏洞來自這些組件。這一比例高於 2020 年的 96.22%。
為了進一步細分,92.81% 的漏洞來自插件,6.61% 來自主題。
在易受攻擊的 WordPress 插件中,91.38% 是通過 WordPress.org 存儲庫提供的免費插件,只有 8.62% 是通過 Envato 等第三方市場銷售的高級插件。
主要統計數據:
- 42% 的 WordPress 網站至少安裝了一個易受攻擊的組件。
- 有趣的是,Patchstack 發現的安全漏洞中只有 0.58% 來自核心 WordPress 軟件。
按類型劃分的頂級 WordPress 漏洞
跨站點腳本漏洞 (CSS) 佔 2021 年添加到 Patchstack 數據庫的所有漏洞的近一半 (~50%)。這比 2020 年的 36% 有所上升。
數據庫中的其他常見漏洞包括:
- 其他漏洞類型加起來 – 13.3%
- 跨站請求偽造 (CSRF) – 11.2%
- SQL 注入 (SQLi) – 6.8%
- 任意文件上傳 – 6.8%
- 認證失敗 – 2.8%
- 信息披露 – 2.4%
- 繞過漏洞 – 1.1%
- 特權升級 – 1.1%
- 遠程代碼執行 (RCE) – 0.9%
按嚴重程度劃分的頂級 WordPress 漏洞
Patchstack 根據其嚴重性對其數據庫中的每個漏洞進行排名。 它使用 CVSS 系統(通用漏洞評分系統)來執行此操作,該系統根據其嚴重性為每個漏洞分配 0 到 10 之間的數值。
Patchstack 去年發現的大多數 WordPress 漏洞的 CVSS 評分都在 4 到 6.9 之間,這使得它們的嚴重性為“中等”。
- 3.4% 的已識別漏洞為嚴重嚴重性(CVSS 評分 9-10)
- 17.9% 的已識別漏洞為高嚴重性(CVSS 評分 7-8.9)
- 76.8% 的已識別漏洞為中等嚴重性(CVSS 評分 4-6.9)
- 1.9% 的已識別漏洞為低嚴重性(0.1-3.9 CVSS 評分)
受攻擊最多的漏洞
Patchstack 數據庫中排名前四的“被攻擊”漏洞是:
- OptinMonster(2.7.4 版及更早版本)– 未受保護的 REST-API 敏感信息披露和未經授權的 API 訪問
- PublishPress 功能(2.3 版及更早版本)– 未經身份驗證的設置更改
- WooCommerce 助推器(版本 5.4.3 及更早版本)– 身份驗證繞過
- Image Hover Effects Ultimate(版本 9.6.1 及更早版本) - 未經身份驗證的任意選項更新
資料來源:Sucuri 1 ,補丁堆棧
WordPress插件黑客統計
正如我們前面提到的,WordPress 插件是最常見的安全漏洞來源,允許黑客滲透或破壞您的網站。 接下來,我們將查看一些與 WordPress 插件相關的 WordPress 黑客統計數據。
如果您還不知道,插件是小型第三方軟件應用程序,您可以在 WordPress 網站上安裝和激活它以擴展其功能。
有多少 WordPress 插件漏洞?
2021 年,在 WordPress 插件中發現了 35 個嚴重漏洞。令人擔憂的是,其中兩個位於安裝量超過 100 萬的插件中:All in One SEO 和 WP Fastest Cache。
好消息是,插件開發人員及時修補了上述兩個漏洞。 但是,發現存在嚴重漏洞的 WordPress 插件總數中有 29% 沒有收到補丁。
什麼是最容易受到攻擊的 WordPress 插件?
Contact Form 7 是最常見的易受攻擊的 WordPress 插件。 在感染時,在所有受感染網站的 36.3% 中發現了它。
但是,重要的是要指出,這並不一定意味著 Contact Form 7 是黑客在這些情況下利用的攻擊媒介,只是它導致了整個不安全的環境。
TimThumb 是感染時第二常見的易受攻擊的 WordPress 插件,在所有受感染網站的 8.2% 中被發現。 鑑於 TimThumb 漏洞已有十多年的歷史,這尤其令人驚訝。
排名前 10 位的易受攻擊的 WordPress 插件:
| 最易受攻擊的 WordPress 組件 | 百分比 |
|---|---|
| 1. 聯繫表格 7 | 36.3% |
| 2. TimThumb(主題和插件使用的圖像大小調整腳本) | 8.2% |
| 3.WooCommerce | 7.8% |
| 4.忍者形態 | 6.1% |
| 5. Yoast 搜索引擎優化 | 3.7% |
| 6.元素 | 3.7% |
| 7. Freemius 圖書館 | 3.7% |
| 8. 頁面構建器 | 2.7% |
| 9.文件管理器 | 2.5% |
| 10. WooCommerce 塊 | 2.5% |
您應該擁有多少個 WordPress 插件?
最佳實踐建議網站所有者和管理員應該盡可能少地使用 WordPress 插件。 您擁有的插件越少,遇到漏洞的風險就越低。
WordPress 網站平均安裝了 18 個不同的插件和主題。 這比去年少了 5 次,從表面上看,這似乎是朝著正確方向邁出的一步。
然而,與去年相比,今年發現更多這些插件和主題已經過時。 平均而言,網站上安裝的 18 個插件中有 6 個已過時,而去年只有 23 個插件中有 4 個已過時。
什麼是最受歡迎的 WordPress 安全插件?
Jetpack 是 WordPress 插件目錄中最受歡迎的 WordPress 安全插件,下載量超過 500 萬次。 然而,Jetpack 是否可以被歸類為真正的安全插件尚有爭議。
儘管它包括 2FA、惡意軟件檢測和蠻力保護等安全功能,但它還包括速度優化、分析和設計工具等其他功能。 這使得它更像是一個多合一插件而不是安全插件。
就專用安全插件而言,Wordfence 是最受歡迎的,在 WordPress 插件數據庫上有 400 萬次下載。
WordPress主題漏洞
Patchstack 發現的 12.4% 的 WordPress 主題漏洞具有關鍵的 CVSS 分數(9.0 – 10.0)。 令人擔憂的是,10 個主題具有 CVSS 10.0 安全風險,通過未經身份驗證的任意文件上傳和選項刪除來危及用戶的整個站點。
來源:補丁堆棧,WordPress 1 ,WordPress 2
如何保護您的 WordPress 網站免受黑客攻擊?
您可以通過減少對插件和主題的使用、確保經常更新所有軟件並修補已識別的漏洞以及通過 WordPress 強化來保護您的 WordPress 網站免受黑客攻擊。
以下是一些統計數據,它們揭示了有關提高 WordPress 網站安全性的更多信息。
最常見的 WordPress 強化建議
根據 Sucuri 的數據,超過 84% 的網站沒有網站應用程序防火牆 (WAF),這使其成為 WordPress 最重要的強化建議。
WAF 可幫助虛擬修補已知漏洞並保護您的站點免受 DDoS 攻擊、垃圾評論和惡意機器人的攻擊。
還發現 83% 的網站缺少 X-Frame-Options - 一個安全標頭,可通過保護您免受點擊劫持和防止黑客通過 iframe 將您的網站嵌入到另一個網站來幫助提高您的安全性。 這使得 X-Frame-Options 成為第二個最常見的強化建議。
Sucuri 檢測到的 5 個最常見的硬化建議:
- 缺少 WAF – 84%
- X-Frame 選項 – 83%
- 無 CSP – 82%
- 嚴格的運輸安全 – 72%
- 不重定向到 HTTPS – 17%
網站管理員如何保護他們的網站?
根據對網站管理員和所有者的調查,82% 的人已經進行了安全強化,這種做法涉及採取措施使您的 WordPress 網站更難被黑客入侵。
其中,27% 的人使用插件來加固他們的網站,25% 的人進行了手動加固,30% 的人將兩者結合使用。 只有 18% 的人根本沒有進行任何硬化。
主要統計數據:
- 81% 接受調查的 WordPress 管理員至少安裝了一個防火牆插件
- 64% 接受調查的 WordPress 管理員使用 2FA(雙重身份驗證),而 36% 不使用
- 65% 的接受調查的 WordPress 管理員使用活動日誌插件。
- 96% 的接受調查的 WordPress 管理員和網站所有者認為 WordPress 安全非常重要。 4% 的人認為它有些重要
- 43% 的管理員每月在 WordPress 安全性上花費 1-3 小時
- 35% 的管理員每月在 WordPress 安全性上花費超過 3 小時
- 22% 的管理員在 WordPress 安全性上花費的時間不到 1 小時。
網絡專業人員如何保護他們客戶的網站?
根據最近的一項調查,與客戶合作的所有網絡專業人員中,幾乎有一半依賴高級安全插件來保護客戶的網站:
網絡專業人士用來保護客戶網站的主要方法:
- 45.6% 為高級安全插件付費
- 42.4% 使用免費的安全插件
- 31.2% 向專業安全提供商付費
- 28.8% 在內部處理安全問題
- 24.8% 將他們的客戶推薦給專業的安全提供商
- 10.4% 使用其他方法
- 6.4% 告訴他們的客戶使用免費插件
- 5.6% 沒有網站安全計劃
Web 專業人員執行的主要安全任務
更新 WordPress(或客戶端使用的任何 CMS)和插件是網絡專業人員執行的最常見的安全任務,四分之三的受訪者表示這是他們所做的事情。
網絡安全專業人員為其客戶執行的主要任務:
- 75% 更新 CMS 和插件
- 67% 的備份站點
- 57% 安裝 SSL 證書
- 56% 監控或掃描網站是否存在惡意軟件
- 38% 修復與安全問題相關的網站
- 34% 修補漏洞
您應該多久更新一次 WordPress 網站?
正如我們之前提到的,從安全的角度來看,保持 WordPress 網站的更新非常重要。
大多數站點經理每週更新他們的網站 (35%),但 20% 每天運行更新,18% 每月更新一次。 21% 的站點管理員配置了某種自動更新,因此他們不必手動進行。
主要統計數據:
- 52% 的接受調查的 WP 所有者和管理員為 WP 軟件、插件和主題啟用了自動更新。
- 25% 總是首先在測試或暫存環境中測試更新
- 32% 有時會測試更新
- 17% 從不測試更新
- 26% 只測試主要更新
資料來源: Sucuri 2 、Sucuri 3 、WP White Security
WordPress黑客的成本
被黑客入侵可能會讓企業損失一筆不小的財富。 以專業的方式清除惡意軟件平均需要花費 613 美元,但要從嚴重的數據洩露中恢復可能會花費數千甚至數百萬美元。
除了金錢成本外,WordPress 黑客攻擊還可以通過影響收入和損害品牌聲譽來間接影響成本企業的資金。
修復被黑的 WordPress 網站需要多少錢?
刪除 WordPress 惡意軟件的平均成本為 613 美元,但這可能因情況而異。 單獨來說,價格從 50 美元一直到 4,800 美元不等。
相比之下,支付網站安全費用以保護您的網站免受惡意軟件的侵害,平均每個網站每月只需 8 美元,這對於大多數網站所有者來說是輕而易舉的事。
數據洩露會給企業造成多少損失?
黑客對全球 45% 的數據洩露事件負責。 平均而言,數據洩露的平均成本為 386 萬美元。 但當然,這取決於組織、行業等的規模。
WordPress黑客的最大影響是什麼?
根據接受調查的網絡專業人士的說法,黑客對其客戶業務的最大影響是時間損失(59.2%)。 其他負面影響包括:
- 收入損失 – 27.2%
- 客戶信心下降 – 26.4%
- 品牌聲譽損失 – 25.6%
- 無中斷 – 17.6%
資料來源: Patchstack、Statista、Sucuri 3
什麼是最安全的 WordPress 版本?
最安全的 WordPress 版本始終是最新版本。 在撰寫本文時,這是 WordPress 6.0.2。
WordPress 多久發布一次安全更新?
WordPress 通常每年都會發布幾個安全和維護更新。 2021 年有 4 個。最新的安全版本(在撰寫本文時)是 WordPress 6.0.2,它修復了三個安全問題:XSS 漏洞、輸出轉義問題和可能的 SQL 注入。
舊版本的 WordPress 容易被黑客入侵嗎?
只有 50.3% 的 WordPress 網站在被感染時被發現是過時的,這表明運行過時版本的 WordPress 軟件僅與感染大致相關。 儘管如此,最佳實踐建議您始終使用最新版本的 WordPress,以盡量減少被黑客入侵的風險。
資料來源: Sucuri 1 ,WordPress 3
最後的想法
我們對 2022 年最重要的 WordPress 黑客統計數據的總結到此結束。我們希望您發現這些數據有用!
如果您想了解更多關於 WordPress 的信息,請查看我們的 WordPress 統計匯總。
您還可以通過閱讀我們關於如何在 2022 年提高 WordPress 安全性的深入指南,了解有關如何保護您的網站免受黑客攻擊的更多信息。
祝你好運!