Lesen Sie den WordPress-Schwachstellen-Jahresbericht 2021
Veröffentlicht: 2022-01-27Als WordPress-Benutzer oder -Entwickler wissen Sie bereits, dass eine der größten Herausforderungen darin besteht, Ihre Website vollständig vor Schwachstellen und der Bedrohung durch böswillige Angriffe zu schützen.
In einer unsicheren Welt, in der die Website- und Online-Sicherheit ständig angegriffen wird, müssen alle Besitzer von WordPress-Websites ihre Sicherheitsprotokolle ernster nehmen als in der Vergangenheit.
Die Daten, die gerade in unserem allerersten WordPress-Schwachstellenbericht 2021 veröffentlicht wurden, zeigen Ihnen nicht nur das gesamte Jahr der gemeldeten WordPress-Schwachstellen 2021, sondern zeigen auch die spezifischen Schwachstellen auf, die Hacker am häufigsten ausnutzen.
Wussten Sie zum Beispiel, dass 97,1 % aller WordPress-Sicherheitslücken im Jahr 2021 auf Plugins zurückzuführen sind? Das ist wichtig zu wissen, wenn es dir wichtig ist, eine sichere WordPress-Seite zu betreiben.
Hier bei iThemes möchten wir nicht nur auf Probleme hinweisen. Wir möchten Ihnen auch bewährte Lösungen anbieten, die Ihre WordPress-Website vollständig vor Schwachstellen schützen. Und Sie erfahren genau, was zu tun ist, um Ihre WordPress-Site vollständig zu sichern, nachdem Sie diese Daten überprüft haben.
Die größte Erkenntnis des Jahres 2021: Behalten Sie Ihre WordPress-Plugins im Auge
Im Jahr 2021 waren ganze 97,1 % aller WordPress-Schwachstellen, die im letzten Jahr bekannt wurden, auf Probleme mit Plugins zurückzuführen. Sie haben richtig gelesen.
2021 Schwachstellen nach Quelle
| Quelle der Schwachstelle | Nummer gemeldet | Prozentsatz von Gesamt (1.628) |
|---|---|---|
| WordPress-Kern | 8 | 0,05 % |
| Plugins | 1581 | 97,1 % |
| Thema | 39 | 2,4 % |
Am besorgniserregendsten ist jedoch, dass von den 1581 Plugin-Schwachstellen, die im Jahr 2021 gemeldet wurden, 23,2 % von ihnen keine bekannte Lösung hatten. Das bedeutet, dass wir mit Blick auf das Jahr 2022 und darüber hinaus umso wachsamer in Bezug auf die Plugins sein müssen, die wir herunterladen und verwenden.
Obwohl Sie beispielsweise eine kostenlose Plugin-Lösung von einem unbekannten Plugin-Entwickler erhalten können, vertrauen Sie dessen Sicherheit voll und ganz? Wie die Daten zeigen, müssen 29 % der gemeldeten Plugin-Schwachstellen noch von ihren Entwicklern gepatcht werden.
Plugin-Status zum Zeitpunkt der Offenlegung
| Bedrohungsstufe | Nummer gemeldet | Prozentsatz von Gesamt (1.628) |
|---|---|---|
| Gepatcht | 1156 | 71% |
| Keine bekannte Lösung | 377 | 23,2 % |
| Plugin geschlossen | 95 | 5,8 % |
Bleiben Sie nach Möglichkeit bei den Plugin-Entwicklern, denen Sie vertrauen, und verwenden Sie niemals genullte WordPress-Plugins und -Designs. Und halten Sie natürlich Ihre Plugins und Themes mit verfügbaren Patches auf dem neuesten Stand, sobald sie veröffentlicht werden.
Aber selbst wenn Sie das tun, werden Schwachstellen immer noch von erfahrenen Hackern und böswilligen Angreifern ausgenutzt, bevor Plugin-Entwickler Patches erstellen können, um sie zu beheben.
Genau aus diesem Grund benötigt Ihre WordPress-Site einen felsenfesten Sicherheitsschutz, wie wir in einer Minute besprechen werden.
Im Moment ist es wichtig zu wissen, dass das iThemes Security Pro-Plugin über einen integrierten Site-Scanner verfügt, der mit der Versionsverwaltungsfunktion gekoppelt ist, um automatisch nach bekannten Schwachstellen zu suchen und alle anfälligen Plugins automatisch zu aktualisieren, sodass Sie sich nicht so viele Sorgen machen müssen über die Sicherheit Ihrer Website.
Ein enormer Anstieg der gemeldeten Schwachstellen im September 2021
Der September war der Monat, der sich von den anderen abhob. Tatsächlich wurden im September 20,5 % der insgesamt gemeldeten Sicherheitslücken oder 335 insgesamt gemeldet. Zum Vergleich: Der Monat mit der zweithöchsten Anzahl an Sicherheitslücken war der Oktober, in dem 173 gemeldet wurden. Der Juli lag mit 157 Vorkommen nicht weit dahinter.
Schwachstellen pro einzelnem Plugin/Thema/Core nach Monat (2021)
| Monat | Plugins | Thema | Kern |
|---|---|---|---|
| Januar | 19 | 0 | 0 |
| Februar | 42 | 2 | 0 |
| Marsch | 58 | 1 | 0 |
| April | 67 | 1 | 2 |
| Kann | 37 | 5 | 2 |
| Juni | 80 | 7 | 0 |
| Juli | 157 | 7 | 0 |
| August | 149 | 0 | 0 |
| September | 335 | 3 | 1 |
| Oktober | 173 | 1 | 0 |
| November | 120 | 0 | 0 |
| Dezember | 45 | 0 | 0 |
Obwohl es sicherlich nicht möglich ist zu wissen, ob sich ein ähnliches Muster abspielen wird, wenn wir uns weiter ins Jahr 2022 bewegen, sind dies sicherlich wichtige Daten, die wir im Auge behalten sollten.
Schwachstellen nach Bedrohungsstufe nach Monat (2021)
| Monat | Kritisch | Hoch | Mittel | Niedrig |
|---|---|---|---|---|
| Januar | 5 | 3 | 11 | 1 |
| Februar | 25 | 10 | 0 | 21 |
| Marsch | 16 | 19 | 35 | 0 |
| April | 25 | 27 | 37 | 1 |
| Kann | 4 | 18 | 32 | 3 |
| Juni | 7 | 18 | 64 | 1 |
| Juli | 8 | 65 | 120 | 9 |
| August | 11 | 135 | 56 | 37 |
| September | 19 | 174 | 156 | 38 |
| Oktober | 8 | 73 | 75 | 62 |
| November | 9 | 46 | 53 | 22 |
| Dezember | 0 | 30 | 18 | 9 |
Cross-Site Scripting als häufigste Plugin-Schwachstelle
Cross-Site-Scripting (XSS) ist eine Art Website-Sicherheitslücke, die in vielen WordPress-Anwendungen wie Plugins und Themes zu finden ist.
Diese XSS-Angriffe ermöglichen es Angreifern, clientseitige Skripte in WordPress-Webseiten einzufügen, die von anderen Benutzern angezeigt werden. Eine Cross-Site-Scripting-Schwachstelle kann von Angreifern verwendet werden, um Zugriffskontrollen zu umgehen und vollständig auf das Back-End Ihrer Website zuzugreifen.
Cross-Site-Scripting, das 2021 auf WordPress-Websites durchgeführt wurde, machte 54,4 % aller WordPress-Schwachstellen aus. Und das waren insgesamt 885 Schwachstellen.
| Bedrohungsstufe | Nummer gemeldet | Prozentsatz von Gesamt (1.628) |
|---|---|---|
| Cross-Site-Scripting (CSS) | 885 | 54,4 % |
| Cross-Site Forgery Request (CSFR) | 167 | 10,2 % |
| SQL-Injektionen | 152 | 9,3 % |
| Umgehungen | 68 | 4,2 % |
| RCE-Schwachstellen | 20 | 1,2 % |
| PHP-Schwachstellen | 19 | 1,2 % |
| Var-Offenlegungen | 19 | 1,2 % |
| REST-API | 11 | 0,7 % |
| Offenlegung sensibler Informationen | 6 | 0,4 % |
| Alle anderen | 281 | 17,3 % |
Wie Sie sehen können, ist Cross-Site-Scripting ein großes Sicherheitsproblem für alle Besitzer von WordPress-Sites. Aber die Sicherheitsbedenken enden hier nicht.
Weitere 10,2 % oder 167 Schwachstellen stammten von Cross-Site Forgery Requests (CSFR).
Cross-Site Request Forgery, auch bekannt als One-Click-Angriff oder Session-Riding, ist eine Art von böswilligem Exploit einer Website, bei der nicht autorisierte Befehle von einem Benutzer gesendet werden, dem die Webanwendung vertraut.
Es dauert nicht lange, um zu erkennen, dass Ihre WordPress-Website ohne geeignete WordPress-Sicherheitsprotokolle für Cross-Site-Angriffe aller Art offen ist.
Aber das sind nicht die einzigen Arten von Schwachstellen, über die Sie sich Sorgen machen sollten. Darüber hinaus gibt es sieben verschiedene Arten von Schwachstellen, die im Jahr 2021 gemeldet wurden.
Und ignorieren Sie nicht die 281 oder 17,3 % der gemeldeten Schwachstellen, die im Bericht als „Sonstige“ gekennzeichnet sind.
Häufig sind diese Arten von Angriffen diejenigen, die von Theme- und Plugin-Entwicklern noch nicht verstanden werden und die ein leistungsstarkes WordPress-Sicherheits-Plugin erfordern, um zu verhindern, dass sie Ihre Website beschädigen oder hacken.
Schwachstellen-Bedrohungsstufen im Jahr 2021
| Bedrohungsstufe | Nummer gemeldet | Prozentsatz von Gesamt (1.628) |
|---|---|---|
| Kritisch | 137 | 8,4 % |
| Hoch | 630 | 38,7 % |
| Mittel | 678 | 41,6 % |
| Niedrig | 183 | 11,2 % |
Sicherheitslücken in WordPress Core und Theme
Als Besitzer einer WordPress-Site wissen Sie wahrscheinlich bereits, wie wichtig es ist, Ihre Plugins jederzeit auf dem neuesten Stand zu halten, um potenzielle Angriffe zu vermeiden.
Schließlich werden die allermeisten Schwachstellen durch Plugins ausgenutzt.
Aber wie die Zahlen für 2021 zeigen, sind Plugins nicht der Anfang und das Ende Ihrer Sicherheitsprotokolle. Selbst wenn Sie 100 % wachsam mit den von Ihnen verwendeten Plugins umgehen und sie auf dem neuesten Stand halten, kann Ihre Website dennoch durch Schwachstellen in Ihrem Design ausgenutzt werden.
Es kann auch über die WordPress-Kernsoftware genutzt werden. Letztes Jahr haben wir insgesamt 47 Sicherheitslücken gesehen, die über den WordPress-Kern und verschiedene Themen ausgenutzt wurden. Diese Zahl macht etwa 2,5 % aller WordPress-Sicherheitslücken im Jahr 2021 aus.
Und obwohl das nicht viel erscheinen mag, braucht es nur eine ausgenutzte Website-Schwachstelle, um den Ruf Ihrer Website und Ihres Unternehmens vollständig zu ruinieren.
Die erste Lösung besteht natürlich darin, den WordPress-Kern und Ihr Theme jederzeit vollständig gepatcht und aktualisiert zu halten. Aber wie wir bereits in Bezug auf Plugins gesagt haben, hilft dies nur, früher bekannte Schwachstellen zu beheben.
Für die neuen müssen Sie Sicherheitssoftware ausführen, die erkennt, wann böswillige Angriffe in Echtzeit stattfinden.
Stellen Sie sicher, dass die Website-Sicherheit im Jahr 2022 im Mittelpunkt steht
Hier greift das iThemes Security Pro-Plugin ein, um Ihre WordPress-Site sicher zu halten. Mit unserer benutzerfreundlichen, unkomplizierten WordPress-Sicherheitslösung können Sie nachts sofort besser schlafen, da Sie wissen, dass Ihre Website vollständig vor Hackern und böswilligen Angriffen geschützt ist.
Der erste Schritt besteht darin, das Bombardement von Sicherheitsbedrohungen zu verstehen, dem Ihre Website ständig ausgesetzt ist. Danach ist es an der Zeit, sich iThemes Security Pro zu holen und sich ernsthaft mit dem Sicherheitsprotokoll Ihrer WordPress-Website zu befassen.
Mit einem integrierten WordPress-Site-Scanner zum Scannen nach bekannten WordPress-Schwachstellen, gepaart mit Schutzebenen für Ihre Anmeldeseite wie Brute-Force-Schutz sowie Dateiänderungserkennung und Benutzerprotokollierung, verfügt Ihre Website über eine starke Verteidigung gegen Hacks und Sicherheitsverletzungen .
Das beste WordPress-Sicherheits-Plugin für Sicher & Schützen WordPress
Entwickelt von den WordPress-Sicherheitsexperten seit 2014
WordPress betreibt derzeit über 40 % aller Websites, sodass es zu einem leichten Ziel für Hacker mit böswilligen Absichten geworden ist. iThemes Security Pro beseitigt das Rätselraten bei der WordPress-Sicherheit, um es einfach zu machen, Ihre WordPress-Website zu sichern und zu schützen.
