Citiți Raportul anual de vulnerabilitate WordPress 2021
Publicat: 2022-01-27În calitate de utilizator sau dezvoltator WordPress, știți deja că una dintre cele mai mari provocări cu care vă confruntați este securizarea completă a site-ului dvs. de vulnerabilități și amenințarea atacurilor rău intenționate.
Într-o lume incertă în care securitatea site-ului web și online este atacată constant, toți proprietarii de site-uri WordPress trebuie să-și ia protocoalele de securitate mai în serios decât în trecut.
Datele tocmai publicate în primul nostru Raport de vulnerabilitate WordPress din 2021 nu numai că vă arată întregul an al vulnerabilităților WordPress raportate din 2021, ci dezvăluie și vulnerabilitățile specifice pe care hackerii le exploatează cel mai adesea.
De exemplu, știați că 97,1% din totalul vulnerabilităților WordPress din 2021 s-au datorat pluginurilor? Este important să știi dacă rularea unui site WordPress securizat contează pentru tine.
Aici, la iThemes, nu vrem doar să subliniem problemele. De asemenea, vrem să vă oferim soluții dovedite care funcționează pentru a menține site-ul dvs. WordPress pe deplin protejat de vulnerabilități. Și veți învăța exact ce să faceți pentru a vă securiza pe deplin site-ul WordPress după ce ați examinat aceste date.
Cea mai mare concluzie din 2021: urmăriți îndeaproape pluginurile dvs. WordPress
În 2021, 97,1% din toate vulnerabilitățile WordPress dezvăluite anul trecut s-au datorat problemelor cu pluginurile. Ai citit bine.
2021 Vulnerabilități după sursă
| Sursa de vulnerabilitate | Număr raportat | Procent din total (1.628) |
|---|---|---|
| WordPress Core | 8 | 0,05% |
| Pluginuri | 1581 | 97,1% |
| Temă | 39 | 2,4% |
Dar ceea ce este cel mai îngrijorător este că, dintre cele 1581 de vulnerabilități ale pluginurilor care au fost raportate în 2021, 23,2% dintre ele nu aveau nicio remediere cunoscută. Aceasta înseamnă că, pe măsură ce avansăm în 2022 și mai departe, trebuie să fim cu atât mai vigilenți cu privire la pluginurile pe care le descarcăm și le folosim.
De exemplu, deși este posibil să obțineți o soluție de plugin gratuită de la un dezvoltator de plugin necunoscut, aveți deplină încredere în securitatea acesteia? După cum arată datele, 29% dintre vulnerabilitățile raportate ale pluginurilor nu au fost încă remediate de către dezvoltatorii lor.
Starea pluginului la momentul dezvăluirii
| Nivel de amenintare | Număr raportat | Procent din total (1.628) |
|---|---|---|
| Petice | 1156 | 71% |
| Nicio remediere cunoscută | 377 | 23,2% |
| Plugin închis | 95 | 5,8% |
Ori de câte ori este posibil, rămâneți cu dezvoltatorii de pluginuri în care aveți încredere și nu utilizați niciodată pluginuri și teme WordPress anulate. Și, desigur, păstrați-vă pluginurile și temele actualizate cu patch-urile disponibile ori de câte ori sunt lansate.
Dar chiar și atunci când faci asta, vulnerabilitățile vor fi în continuare exploatate de hackeri calificați și atacatori rău intenționați înainte ca dezvoltatorii de pluginuri să poată crea patch-uri pentru a le remedia.
Acesta este motivul pentru care site-ul dvs. WordPress are nevoie de o protecție de securitate solidă, așa cum vom discuta într-un minut.
Deocamdată, este important să știți că pluginul iThemes Security Pro are un scaner de site încorporat care se împerechează cu caracteristica de gestionare a versiunilor pentru a scana automat vulnerabilități cunoscute și pentru a actualiza automat orice plugin vulnerabil, astfel încât să nu trebuie să vă faceți atât de mult griji despre securitatea site-ului dvs.
O creștere uriașă a vulnerabilităților raportate în septembrie 2021
Septembrie a fost luna care s-a remarcat de restul. De fapt, septembrie a înregistrat 20,5% din totalul vulnerabilităților raportate, sau 335 în total. Pentru perspectivă, luna care a înregistrat al doilea cel mai mare număr de vulnerabilități a fost octombrie, care a raportat 173. Iulie nu a fost departe, cu 157 de apariții.
Vulnerabilități pe plugin/temă/nucleu individual pe lună (2021)
| Lună | Pluginuri | Temă | Miez |
|---|---|---|---|
| ianuarie | 19 | 0 | 0 |
| februarie | 42 | 2 | 0 |
| Martie | 58 | 1 | 0 |
| Aprilie | 67 | 1 | 2 |
| Mai | 37 | 5 | 2 |
| iunie | 80 | 7 | 0 |
| iulie | 157 | 7 | 0 |
| August | 149 | 0 | 0 |
| Septembrie | 335 | 3 | 1 |
| octombrie | 173 | 1 | 0 |
| noiembrie | 120 | 0 | 0 |
| decembrie | 45 | 0 | 0 |
Deși cu siguranță nu este posibil să știm dacă un model similar se va desfășura pe măsură ce trecem mai departe în 2022, acestea sunt cu siguranță date importante pe care să ne ținem ochii.
Vulnerabilități după nivelul de amenințare după lună (2021)
| Lună | Critic | Înalt | Mediu | Scăzut |
|---|---|---|---|---|
| ianuarie | 5 | 3 | 11 | 1 |
| februarie | 25 | 10 | 0 | 21 |
| Martie | 16 | 19 | 35 | 0 |
| Aprilie | 25 | 27 | 37 | 1 |
| Mai | 4 | 18 | 32 | 3 |
| iunie | 7 | 18 | 64 | 1 |
| iulie | 8 | 65 | 120 | 9 |
| August | 11 | 135 | 56 | 37 |
| Septembrie | 19 | 174 | 156 | 38 |
| octombrie | 8 | 73 | 75 | 62 |
| noiembrie | 9 | 46 | 53 | 22 |
| decembrie | 0 | 30 | 18 | 9 |
Cross-Site Scripting ca cea mai comună vulnerabilitate de plugin
Cross-site scripting (XSS) este un tip de vulnerabilitate de securitate a site-ului web care se găsește în multe aplicații WordPress, cum ar fi pluginuri și teme.
Aceste atacuri XSS le permit atacatorilor să injecteze scripturi la nivelul clientului în paginile web WordPress vizualizate de alți utilizatori. O vulnerabilitate de scripting între site-uri poate fi folosită de atacatori pentru a ocoli controalele de acces și pentru a accesa complet back end-ul site-ului dvs.
Scripturile între site-uri efectuate pe site-urile WordPress în 2021 au reprezentat 54,4% din toate vulnerabilitățile WordPress. Și acesta a fost un total de 885 de vulnerabilități totale.
| Nivel de amenintare | Număr raportat | Procent din total (1.628) |
|---|---|---|
| Cross-Site Scripting (CSS) | 885 | 54,4% |
| Solicitare de falsificare între site-uri (CSFR) | 167 | 10,2% |
| Injecții SQL | 152 | 9,3% |
| Ocoliri | 68 | 4,2% |
| Vulnerabilitățile RCE | 20 | 1,2% |
| Vulnerabilități PHP | 19 | 1,2% |
| Var Dezvăluiri | 19 | 1,2% |
| API-ul REST | 11 | 0,7% |
| Dezvăluirea informațiilor sensibile | 6 | 0,4% |
| Toti ceilalti | 281 | 17,3% |
După cum puteți vedea, cross-site scripting este o problemă majoră de securitate pentru toți proprietarii de site-uri WordPress. Dar preocupările legate de vulnerabilitate nu se termină aici.
Alte 10,2%, sau 167 de vulnerabilități, au provenit din cererile de falsificare între site-uri (CSFR).
Falsificarea cererilor între site-uri, cunoscută și sub denumirea de atac cu un singur clic sau sesiune, este un tip de exploatare rău intenționată a unui site web în care sunt trimise comenzi neautorizate de la un utilizator în care aplicația web are încredere.
Nu durează mult să vezi că, fără protocoale de securitate WordPress adecvate, site-ul tău WordPress este larg deschis atacurilor între site-uri de tot felul.
Dar acestea nu sunt singurele tipuri de vulnerabilități de care ar trebui să vă îngrijorați. Dincolo de acestea, există șapte tipuri distincte de vulnerabilități care au fost raportate în 2021.
Și nu respinge cele 281 sau 17,3% dintre vulnerabilitățile raportate care sunt etichetate în raport drept „Altele”.
Adesea, aceste tipuri de atacuri sunt cele care nu sunt încă înțelese de dezvoltatorii de teme și de pluginuri și necesită un plugin de securitate WordPress puternic pentru a le împiedica să vă deterioreze sau să pirateze site-ul.
Niveluri de amenințare la vulnerabilitate în 2021
| Nivel de amenintare | Număr raportat | Procent din total (1.628) |
|---|---|---|
| Critic | 137 | 8,4% |
| Înalt | 630 | 38,7% |
| Mediu | 678 | 41,6% |
| Scăzut | 183 | 11,2% |
Vulnerabilități de bază și teme WordPress
În calitate de proprietar de site WordPress, probabil că știți deja importanța menținerii pluginurilor actualizate în orice moment pentru a evita potențialele atacuri.
La urma urmei, marea majoritate a vulnerabilităților sunt exploatate prin pluginuri.
Dar, așa cum indică cifrele din 2021, pluginurile nu sunt locul unde încep și se termină protocoalele de securitate. Chiar dacă ești 100% vigilent cu pluginurile pe care le folosești și le menții actualizate, site-ul tău poate fi exploatat în continuare de vulnerabilitățile din tema ta.
Poate fi exploatat și prin software-ul de bază WordPress. Anul trecut, am văzut un total de 47 de vulnerabilități care au fost exploatate prin nucleul WordPress și diverse teme. Acest număr reprezintă aproximativ 2,5% din toate vulnerabilitățile de securitate WordPress din 2021.
Și, deși asta poate să nu pară prea mult, este nevoie de o singură vulnerabilitate a site-ului exploatat pentru a distruge complet reputația site-ului și a afacerii tale.
Desigur, prima soluție este să păstrați nucleul WordPress și tema dvs. complet corectate și actualizate în orice moment. Dar, așa cum am afirmat cu privire la pluginuri, asta ajută doar la rezolvarea vulnerabilităților cunoscute din trecut.
Pentru cele noi, trebuie să rulați un software de securitate care știe să detecteze când au loc atacuri rău intenționate în timp real.
Asigurați-vă că veți menține securitatea site-ului web în centrul atenției în 2022
Aici intervine pluginul iThemes Security Pro pentru a vă ajuta să vă păstrați site-ul WordPress în siguranță. Cu soluția noastră de securitate WordPress simplă și ușor de utilizat, veți putea imediat să dormiți mai bine noaptea știind că site-ul dvs. este complet protejat de hackeri și atacuri rău intenționate.
Primul pas este să înțelegeți bombardarea amenințărilor de securitate la care se află în mod constant site-ul dvs. După aceea, este timpul să obțineți iThemes Security Pro și să vă ocupați serios de protocolul de securitate al site-ului dvs. WordPress.
Cu un scaner de site WordPress încorporat pentru a scana vulnerabilitățile WordPress cunoscute, împreună cu straturi de protecție pentru pagina dvs. de autentificare, cum ar fi protecția prin forță brută, precum și detectarea modificărilor fișierelor și înregistrarea utilizatorilor, site-ul dvs. are o apărare puternică împotriva hackurilor și a încălcărilor de securitate. .
Cel mai bun plugin de securitate WordPress pentru Sigur & Proteja WordPress
Construit de experții în securitate WordPress din 2014
WordPress alimentează în prezent peste 40% din toate site-urile web, așa că a devenit o țintă ușoară pentru hackerii cu intenții rău intenționate. iThemes Security Pro elimină presupunerile din securitatea WordPress pentru a facilita securizarea și protejarea site-ului dvs. WordPress.
