53 WordPress 安全統計

沒有人確切知道有多少 WordPress 網站遭到黑客攻擊，但我們的最佳估計是每天至少 13,000 個。 即每分鐘約 9 次，每月 39 萬次，每年 470 萬次。

有 4.3% 的 WordPress 網站遭到黑客攻擊。 每 25 個 WordPress 網站中就有近 1 個遭到黑客攻擊。

每天，超過 30,000 個網站遭到黑客攻擊。

10.4% 的 WordPress 網站因使用過時的插件、主題或 WordPress 版本而面臨被黑的風險。

由於它的流行和廣泛使用，每分鐘有近 90,000 次攻擊來自 WordPress。

使用 WordPress 內容保護插件是最好的方法。

我們推薦 WPShield Content Protector，因為它包含 15 種不同的保護器。

據估計，8% 的 WordPress 網站被弱密碼或被盜密碼入侵。

網站所有者應該選擇一個簡單的密碼，這樣他們就不會忘記它，但要確保它足夠難，你可以記住它並且黑客無法猜到它。

當 WordPress 網站沒有足夠定期更新時，它們特別容易受到攻擊。 61% 的攻擊是由過時的站點引起的。

它可能看起來是假的，但 WordPress 一直在受到攻擊。

根據 Sucuri 的年度被黑網站報告，WordPress 是 2021 年最常被黑的 CMS。

Sucuri 檢測到的感染中有 95.6% 發生在 WordPress 網站上。

1- WordPress – 95.6%

2- Joomla – 2.03%

3- Drupal – 0.83%

4- Magento – 0.71%

5- OpenCart – 0.35%

值得注意的是，僅僅因為 Sucuri 在 WordPress 支持的網站上檢測到大多數感染並不意味著 WordPress 本身就存在漏洞。

WordPress的。

因為 WordPress 是最流行的 CMS，所以黑客更有可能將其作為目標。

2020 年，超過 970 萬個唯一 IP 地址試圖利用漏洞。

在我看來，這些統計數據令人印象深刻，但更令人印象深刻的是，99.6% 的攻擊都被 Wordfence 阻止了，其餘的被網站上的其他安全措施阻止了。

不安全或被盜的密碼導致 81% 的 WordPress 黑客攻擊。

幾乎所有的攻擊都以破壞網站為目標，然後試圖注入惡意腳本。

密碼最常通過暴力攻擊被竊取，黑客使用軟件自動使用隨機用戶名和密碼登錄網站。

由於在名為 TimThumb 的插件中發現漏洞，2011 年超過 1800 萬個 WordPress 網站遭到入侵。

WordPress 的 TimThumb 縮略圖創建插件存在 SQL 注入漏洞。

據估計，97% 的 WordPress 攻擊是自動進行的。

為什麼？ 因為它們高效且有效。

攻擊者很容易使用自動攻擊在網站所有者修復之前發現網站中的缺陷。 自動攻擊也很便宜。

黑客不需要為人類付費，只需為一次掃描漏洞數小時或數天的應用程序付費。

WordPress 加固的最高推薦來自 Sucuri，他發現 84% 的網站沒有網站應用程序防火牆。

使用 WordPress 安全插件對於保護網站免受黑客攻擊也是必不可少的。

這些是 Sucuri 發現的前 5 個強化建議：

1- 缺少 WAF – 84%

2- X 框架選項 – 83%

3- 無 CSP – 82%

4- 嚴格的運輸安全 – 72%

5- 不重定向到 HTTPS – 17%

81% 的 WordPress 站點至少安裝了一個防火牆插件。

64% 的受調查 WordPress 管理員使用 2FA（雙因素身份驗證），而 36% 的人不使用。

65% 的受訪 WordPress 管理員使用活動日誌插件。

96% 的 WordPress 管理員和網站所有者認為 WordPress 安全性非常重要，4% 的人認為它比較重要。

43% 的管理員每月在 WordPress 安全上花費 1-3 小時

35% 的管理員每月在 WordPress 安全上花費超過 3 小時

22% 的管理員花在 WordPress 安全上的時間不到 1 小時。

幾乎四分之三的受訪者表示，更新 WordPress 核心和插件是他們最常見的安全任務。

此處列出了 Web 安全專業人員為其客戶執行的首要任務：

1- 75% 更新 CMS 和插件

2- 67% 備份站點

3- 57% 安裝 SSL 證書

4- 56% 監視或掃描網站中的惡意軟件

5- 38% 修復與安全問題相關的站點

6- 34% 修補漏洞

建議在 WordPress 上使用自動更新以自動更新，但非常建議至少每月更新所有插件和主題。

這是有關更新 WordPress 的統計信息：

1- 35% 的網站管理員每週更新他們的網站

2- 20% 的人每天都這樣做

3- 18% 的人每個月都這樣做

4- 21% 使用自動更新系統，因此他們不需要手動更新網站

有關 WordPress 更新和測試的主要統計數據：

→ 52% 的受訪 WP 所有者和管理員為 WP 軟件、插件和主題啟用了自動更新。

→ 25% 始終首先在測試或暫存環境中測試更新

→ 32% 有時會測試更新

→ 17% 從不測試更新

→26% 僅測試主要更新

由於 WordPress 插件中的漏洞，巴拿馬文件洩漏暴露了 480 萬封電子郵件，這可能會讓您感到驚訝。

超過 35% 的受訪者每月花在安全任務上的時間不到一小時，而 22% 的受訪者每月花在安全任務上的時間超過三個小時。

如果不計算成功的攻擊，Wordfence 的軟件在 2020 年阻止了超過 40 億次攻擊嘗試和超過 900 億次惡意登錄嘗試。

下一個版本。

始終推薦使用最新版本的 WordPress。 在撰寫本文時，WordPress 6.1.0 可用。

出於安全和維護的考慮，每年都會發布一些 WordPress 更新。

大多數過時的 WordPress 站點都受到了感染，這表明運行過時的 WordPress 僅與感染有某種關聯

使用最新版本的 WordPress 將最大限度地降低黑客攻擊您網站的風險。

惡意軟件是 Sucuri 在事件響應期間發現的最常見的 WordPress 黑客攻擊類型。

Sucuri 發現的頂級 WordPress 黑客

1- 惡意軟件 61.65%

2- 後門 – 60.04%

3- SEO 垃圾郵件 – 52.60%

4- 黑客工具 – 20.27%

5- 網絡釣魚 – 7.39%

6- 污損 – 6.63%

7- 梅勒 – 5.92%

8- 滴管 – 0.63%

根據對大約 10,000 個站點的調查，大約 29% 的黑客被其 WordPress 主題中的漏洞攻擊。

據估計，在其提供商託管的所有網站中，有 41% 的網站存在漏洞。

由於託管公司可以同時擁有數千個域，因此如果發現錯誤，數百個網站可能會受到影響。

38,281 個漏洞

2021 年，WordPress 生態系統中的所有安全漏洞中有 99.42% 是在主題和插件中發現的。這比 2020 年的 96.22% 有所增加。

此外，92.81% 的漏洞是由插件引起的，而 6.61% 是由主題引起的。

42% 的 WordPress 站點至少安裝了一個易受攻擊的組件。

據估計，91.38% 的插件可通過 WordPress.org 存儲庫免費獲得，而只有 8.62% 可通過第三方市場獲得。

2021 年 Patchstack 數據庫中近一半 (50%) 的漏洞是跨站點腳本漏洞。

最常見的 WordPress 漏洞：

1- 跨站腳本 (XSS) – 49.82.3%

2- 其他漏洞類型合計 – 13.3%

3- 跨站請求偽造 (CSRF) – 11.2%

4- SQL 注入 (SQLi) – 6.8%

5- 任意文件上傳 – 6.8%

6- 破損的身份驗證 – 2.8%

8- 7- 信息披露 – 2.4%

9- 繞過漏洞 – 1.1%

10 - 特權升級 – 1.1%

互聯網上總共有 84% 的安全漏洞是由跨站點腳本或 XSS 攻擊引起的。

39% 的 WordPress 漏洞是由於跨站點腳本 (XSS)

52% 的 WordPress 漏洞是由過時的插件引起的。

這意味著您可以通過更新插件來解決一半以上的 WordPress 問題。

僅僅因為它們過去沒有被黑客攻擊並不意味著它們將來不會被黑客攻擊，所以如果你想保證它們的安全，你應該始終保持你的插件是最新的。

虛假 SEO 插件感染了 4,000 多個 WordPress 網站。

WordPress 最大的安全漏洞來自插件。

WPScan 報告稱，在 4,000 個已知的 WordPress 漏洞中，有 52% 是由插件引起的，而 WordPress 核心漏洞和主題漏洞分別佔 37% 和 11%。

Contact Form 7 是最常見的易受攻擊的 WordPress 插件。 在感染點的所有受感染網站中，有 36.3% 發現了它。

然而，需要指出的是，這並不一定意味著 Contact Form 7 是黑客在這些情況下利用的攻擊媒介，只是它導致了整體不安全的環境。

TimThumb 是感染點第二個最常見的易受攻擊的 WordPress 插件，在所有受感染的網站中佔 8.2%。

按照已識別的易受攻擊的 WordPress 插件數量排序，以下是前十名：

1- 聯繫表格 7 (36.3%)

2- TimThumb (8.2%)

3- WooCommerce (7.8%)

4- 忍者形態 (6.1%)

5- Yoast SEO (3.7%)

6- 元素 (3.7%)

7- Freemius 圖書館 (3.7%)

8- PageBuilder (2.7%)

9- 文件管理器 (2.5%)

10- WooCommerce 區塊 (2.5%)

刪除 WordPress 惡意軟件的單個價格從 50 美元到 4,800 美元不等，但沒有標準費用。

通常，保護您的網站免受惡意軟件侵害的費用僅為每個網站每月 8 美元，這使它成為一個簡單的決定。

世界上最大的數據洩露事件有 45% 是由於黑客攻擊造成的

大約 386 萬美元是一次數據洩露的平均價格，當然，這會因組織、行業等的規模而有所不同。

接受調查的網絡專業人士認為這些是 WordPress 黑客攻擊的最重要影響：

︎ 浪費時間 – 59.2%

︎ 收入損失 – 27.2%

︎ 客戶信心喪失 – 26.4%

︎ 品牌聲譽損失 – 25.6%

︎ 無中斷 – 17.6%