Lea el Informe anual de vulnerabilidad de WordPress de 2021
Publicado: 2022-01-27Como usuario o desarrollador de WordPress, ya sabe que uno de los mayores desafíos que enfrenta es proteger completamente su sitio de vulnerabilidades y amenazas de ataques maliciosos.
En un mundo incierto donde la seguridad de los sitios web y en línea está bajo constante ataque, todos los propietarios de sitios de WordPress deben tomar sus protocolos de seguridad más en serio que en el pasado.
Los datos que acabamos de publicar en nuestro primer Informe de vulnerabilidades de WordPress de 2021 no solo muestran el año completo de vulnerabilidades de WordPress informadas de 2021, sino que también revelan las vulnerabilidades específicas que los piratas informáticos explotan con mayor frecuencia.
Por ejemplo, ¿sabía que el 97,1 % del total de vulnerabilidades de WordPress en 2021 se debieron a complementos? Es importante saber si es importante para usted tener un sitio seguro de WordPress.
Aquí en iThemes, no queremos simplemente señalar problemas. También queremos brindarle soluciones comprobadas que funcionan para mantener su sitio web de WordPress completamente seguro contra vulnerabilidades. Y aprenderá exactamente qué hacer para proteger completamente su sitio de WordPress después de revisar estos datos.
Lo más importante de 2021: vigile de cerca sus complementos de WordPress
En 2021, el 97,1 % de todas las vulnerabilidades de WordPress reveladas el año pasado se debieron a problemas con los complementos. Has leído bien.
Vulnerabilidades 2021 por fuente
| Fuente de vulnerabilidad | Número reportado | Porcentaje del Total (1.628) |
|---|---|---|
| Núcleo de WordPress | 8 | 0,05% |
| Complementos | 1581 | 97,1% |
| Temática | 39 | 2,4% |
Pero lo más preocupante es que, de las vulnerabilidades del complemento 1581 que se informaron en 2021, el 23,2% de ellas no tenían una solución conocida. Esto significa que, a medida que avanzamos hacia 2022 y más allá, debemos estar más atentos a los complementos que descargamos y usamos.
Por ejemplo, si bien puede obtener una solución de complemento gratuita de un desarrollador de complemento desconocido, ¿confía plenamente en su seguridad? Como muestran los datos, el 29 % de las vulnerabilidades de complementos notificadas aún no han sido reparadas por sus desarrolladores.
Estado del complemento en el momento de la divulgación
| Nivel de amenaza | Número reportado | Porcentaje del Total (1.628) |
|---|---|---|
| parcheado | 1156 | 71% |
| Sin solución conocida | 377 | 23,2% |
| Complemento cerrado | 95 | 5,8% |
Siempre que sea posible, quédese con los desarrolladores de complementos en los que confía y nunca use complementos y temas de WordPress anulados. Y, por supuesto, mantenga sus complementos y temas actualizados con los parches disponibles cada vez que se publiquen.
Pero incluso cuando haga eso, las vulnerabilidades seguirán siendo explotadas por piratas informáticos expertos y atacantes malintencionados antes de que los desarrolladores de complementos puedan crear parches para solucionarlos.
Esta es exactamente la razón por la que su sitio de WordPress necesita una protección de seguridad sólida como una roca, como veremos en un minuto.
Por ahora, es importante saber que el complemento iThemes Security Pro tiene un escáner de sitio incorporado que se combina con la función de administración de versiones para buscar automáticamente vulnerabilidades conocidas y actualizar automáticamente los complementos vulnerables para que no tenga que preocuparse tanto. sobre la seguridad de su sitio.
Un enorme aumento de vulnerabilidades reportadas en septiembre de 2021
Septiembre fue el mes que destacó del resto. De hecho, septiembre vio el 20,5% del total de vulnerabilidades reportadas, o 335 en total. En perspectiva, el mes que vio el segundo mayor número de vulnerabilidades fue octubre, que tenía 173 reportados. Julio no se quedó atrás, con 157 ocurrencias.
Vulnerabilidades por complemento/tema/núcleo individual por mes (2021)
| Mes | Complementos | Temática | Centro |
|---|---|---|---|
| enero | 19 | 0 | 0 |
| Febrero | 42 | 2 | 0 |
| Marzo | 58 | 1 | 0 |
| Abril | 67 | 1 | 2 |
| Puede | 37 | 5 | 2 |
| Junio | 80 | 7 | 0 |
| Julio | 157 | 7 | 0 |
| Agosto | 149 | 0 | 0 |
| Septiembre | 335 | 3 | 1 |
| Octubre | 173 | 1 | 0 |
| Noviembre | 120 | 0 | 0 |
| Diciembre | 45 | 0 | 0 |
Si bien ciertamente no es posible saber si se desarrollará un patrón similar a medida que avanzamos hacia 2022, estos son datos importantes a los que debemos estar atentos.
Vulnerabilidades por nivel de amenaza por mes (2021)
| Mes | Crítico | Alto | Medio | Bajo |
|---|---|---|---|---|
| enero | 5 | 3 | 11 | 1 |
| Febrero | 25 | 10 | 0 | 21 |
| Marzo | dieciséis | 19 | 35 | 0 |
| Abril | 25 | 27 | 37 | 1 |
| Puede | 4 | 18 | 32 | 3 |
| Junio | 7 | 18 | 64 | 1 |
| Julio | 8 | sesenta y cinco | 120 | 9 |
| Agosto | 11 | 135 | 56 | 37 |
| Septiembre | 19 | 174 | 156 | 38 |
| Octubre | 8 | 73 | 75 | 62 |
| Noviembre | 9 | 46 | 53 | 22 |
| Diciembre | 0 | 30 | 18 | 9 |
Cross-Site Scripting como la vulnerabilidad de complemento más común
Cross-site scripting (XSS) es un tipo de vulnerabilidad de seguridad de sitios web que se encuentra en muchas aplicaciones de WordPress, como complementos y temas.
Estos ataques XSS permiten a los atacantes inyectar secuencias de comandos del lado del cliente en las páginas web de WordPress vistas por otros usuarios. Los atacantes pueden utilizar una vulnerabilidad de secuencias de comandos entre sitios para eludir los controles de acceso y acceder por completo al back-end de su sitio.
Las secuencias de comandos entre sitios realizadas en sitios web de WordPress en 2021 representaron el 54,4% de todas las vulnerabilidades de WordPress. Y eso fue un total de 885 vulnerabilidades totales.
| Nivel de amenaza | Número reportado | Porcentaje del Total (1.628) |
|---|---|---|
| Secuencias de comandos entre sitios (CSS) | 885 | 54,4% |
| Solicitud de falsificación entre sitios (CSFR) | 167 | 10,2% |
| Inyecciones SQL | 152 | 9,3% |
| desvía | 68 | 4,2% |
| Vulnerabilidades RCE | 20 | 1,2% |
| Vulnerabilidades de PHP | 19 | 1,2% |
| Divulgaciones de Var | 19 | 1,2% |
| API REST | 11 | 0,7% |
| Divulgación de información confidencial | 6 | 0,4% |
| Todos los otros | 281 | 17,3% |
Como puede ver, las secuencias de comandos entre sitios son un problema de seguridad importante para todos los propietarios de sitios de WordPress. Pero las preocupaciones sobre la vulnerabilidad no terminan ahí.
Otro 10,2 %, o 167 vulnerabilidades, provino de solicitudes de falsificación entre sitios (CSFR).
La falsificación de solicitudes entre sitios, también conocida como ataque con un solo clic o conducción de sesión, es un tipo de explotación maliciosa de un sitio web donde se envían comandos no autorizados de un usuario en el que confía la aplicación web.
No toma mucho tiempo ver que, sin los protocolos de seguridad adecuados de WordPress, su sitio web de WordPress está completamente abierto a ataques entre sitios de todo tipo.
Pero esos no son los únicos tipos de vulnerabilidades que deberían preocuparle. Más allá de ellos, hay siete tipos distintos de vulnerabilidades que se informaron en 2021.
Y no descarte las 281, o el 17,3 %, de las vulnerabilidades informadas que están etiquetadas en el informe como "Otras".
A menudo, estos tipos de ataques son los que aún no comprenden los desarrolladores de temas y complementos, y requieren un potente complemento de seguridad de WordPress para evitar que dañen o pirateen su sitio.
Niveles de amenaza de vulnerabilidad en 2021
| Nivel de amenaza | Número reportado | Porcentaje del Total (1.628) |
|---|---|---|
| Crítico | 137 | 8,4% |
| Alto | 630 | 38,7% |
| Medio | 678 | 41,6% |
| Bajo | 183 | 11,2% |
Vulnerabilidades del núcleo y el tema de WordPress
Como propietario de un sitio de WordPress, probablemente ya sepa la importancia de mantener sus complementos actualizados en todo momento para evitar posibles ataques.
Después de todo, la gran mayoría de las vulnerabilidades se explotan a través de complementos.
Pero, como indican los números de 2021, los complementos no son donde comienzan y terminan sus protocolos de seguridad. Incluso si está 100% atento a los complementos que usa y los mantiene actualizados, su sitio aún puede ser explotado por vulnerabilidades en su tema.
También se puede explotar a través del software principal de WordPress. El año pasado, vimos un total de 47 vulnerabilidades que fueron explotadas a través del núcleo de WordPress y varios temas. Ese número representa aproximadamente el 2,5% de todas las vulnerabilidades de seguridad de WordPress de 2021.
Y si bien eso puede no parecer mucho, solo se necesita una vulnerabilidad del sitio explotada para arruinar por completo la reputación de su sitio web y su negocio.
Por supuesto, la primera solución es mantener el núcleo de WordPress y su tema completamente parcheados y actualizados en todo momento. Pero como dijimos con respecto a los complementos, eso solo ayuda a resolver vulnerabilidades conocidas del pasado.
Para los nuevos, debe ejecutar un software de seguridad que sepa detectar cuándo se producen ataques maliciosos en tiempo real.
Asegúrese de mantener la seguridad del sitio web como un enfoque en 2022
Aquí es donde interviene el complemento iThemes Security Pro para ayudar a mantener seguro su sitio de WordPress. Con nuestra solución de seguridad de WordPress sencilla y fácil de usar, inmediatamente podrá dormir mejor por la noche sabiendo que su sitio está completamente protegido contra piratas informáticos y ataques maliciosos.
El primer paso es comprender el bombardeo de amenazas de seguridad bajo las que se encuentra constantemente su sitio. Después de eso, es hora de obtener iThemes Security Pro y tomar en serio el protocolo de seguridad de su sitio web de WordPress.
Con un escáner de sitio de WordPress incorporado para buscar vulnerabilidades conocidas de WordPress, combinado con capas de protección para su página de inicio de sesión como protección de fuerza bruta, así como detección de cambios de archivos y registro de usuarios, su sitio tiene una fuerte defensa contra ataques y brechas de seguridad. .
El mejor complemento de seguridad de WordPress para Seguro & Proteger WordPress
Creado por los expertos en seguridad de WordPress desde 2014
Actualmente, WordPress funciona en más del 40% de todos los sitios web, por lo que se ha convertido en un objetivo fácil para los piratas informáticos con intenciones maliciosas. iThemes Security Pro elimina las conjeturas de la seguridad de WordPress para que sea más fácil asegurar y proteger su sitio web de WordPress.
