Estatísticas de hackers do WordPress (quantos sites do WordPress são hackeados?)

Quer descobrir quantos sites WordPress são invadidos? Então você não vai querer perder essas estatísticas de hackers do WordPress!

WordPress é o CMS mais popular do mundo. Ele alimenta mais sites do que qualquer outro software. Mas, infelizmente, essa popularidade também o torna um dos alvos mais comuns para hackers.

Todos os anos, milhões de sites WordPress são vítimas de ataques cibernéticos. Se você não quer fazer parte desse grupo, ajuda manter-se informado.

Com isso em mente, compartilharemos mais de 50 estatísticas de hackers do WordPress que os proprietários e administradores de sites precisam saber este ano.

As estatísticas abaixo ajudarão você a saber mais sobre o estado atual da segurança do WordPress em 2022. Elas revelarão as vulnerabilidades de sites mais comuns que os hackers exploram e destacarão algumas práticas recomendadas que podem ajudá-lo a manter seu site seguro e protegido.

Preparar? Vamos começar!

Quantos sites WordPress são invadidos?

Ninguém sabe exatamente quantos sites WordPress são invadidos, mas nossa melhor estimativa é de pelo menos 13.000 por dia. Isso é cerca de 9 por minuto, 390.000 por mês e 4,7 milhões por ano.

Chegamos a essa estimativa com base no fato de que a Sophos relata que mais de 30.000 sites são invadidos diariamente e 43% de todos os sites são construídos no WordPress.

Qual porcentagem de sites WordPress são invadidos?

De acordo com a Sucuri, 4,3% dos sites WordPress que foram verificados com o SiteCheck (um scanner de segurança de sites popular) em 2021 foram invadidos (infectados). Isso é cerca de 1 em cada 25 sites.

Embora nem todos os sites do WordPress usem o SiteCheck, isso é provavelmente uma boa indicação da porcentagem total de sites do WordPress que são invadidos.

A Sucuri também descobriu que 10,4% dos sites WordPress corriam o risco de serem invadidos, pois estavam executando software desatualizado.

Qual é a plataforma CMS mais comumente invadida?

O WordPress foi o CMS (sistema de gerenciamento de conteúdo) mais invadido em 2021, de acordo com o relatório anual de sites invadidos da Sucuri. Mais de 95,6% das infecções detectadas pela Sucuri foram em sites com WordPress.

Os 5 CMS mais invadidos:

1. WordPress – 95,6%
2. Joomla – 2,03%
3. Drupal - 0,83%
4. Magento - 0,71%
5. OpenCart - 0,35%

No entanto, vale a pena notar que o fato de que a maioria das infecções detectadas pela Sucuri estavam em sites que executam o WordPress não significa necessariamente que há algo inerentemente vulnerável no software principal do WordPress.

Pelo contrário, é mais provável que seja simplesmente um reflexo do fato de que o WordPress é de longe o CMS mais usado e que os usuários do WordPress são mais propensos a usar plugins como o Sucuri do que os usuários de outro software CMS.

Fontes: Sophos, Colorlib, Sucuri ¹

Quais são os hacks mais comuns do WordPress?

Malware é o tipo mais comum de hack do WordPress visto pela Sucuri durante a resposta a incidentes. No total, 61,65% das infecções encontradas pela Sucuri foram categorizadas como malware. Outras infecções comuns incluem hacks de backdoor, spam de SEO, hacktools e hacks de phishing.

Principais hacks do WordPress encontrados pela Sucuri

1. Malware 61,65%
2. Porta dos fundos - 60,04%
3. Spam SEO – 52,60%
4. Hacktool – 20,27%
5. Phishing – 7,39%
6. Desfigurações - 6,63%
7. Correio – 5,92%
8. Conta-gotas - 0,63%

Malware

Malware é o tipo mais comum de hack do WordPress encontrado pela Sucuri. Este é um termo amplo e abrangente que se refere a qualquer tipo de software malicioso usado por cibercriminosos para prejudicar ou explorar seu site WordPress. O tipo mais comum de malware é o malware PHP.

O malware é um dos tipos mais prejudiciais de infecções de segurança, pois, ao contrário dos backdoors e do spam de SEO, geralmente coloca os visitantes do seu site em risco de algum tipo de ação maliciosa.

Por exemplo, um exemplo comum de malware é uma infecção SiteURL/HomeURL, que envolve infectar seu site com um código que redireciona seus visitantes para domínios maliciosos ou fraudulentos para roubar seus detalhes de login.

Outro exemplo é o skimming de cartão de crédito: um ataque baseado na web no qual hackers injetam código malicioso em sites de comércio eletrônico para roubar informações de cartão de crédito e débito dos visitantes. Curiosamente, as estatísticas mostram que 34,5% dos sites infectados com um skimmer de cartão de crédito rodam no WordPress.

Porta dos fundos

Backdoors são o segundo tipo mais comum de hack WordPress encontrado pela Sucuri. Como o nome sugere, esses tipos de infecções permitem que os hackers ignorem os canais de login usuais para acessar o back-end do seu site por meio de um 'backdoor' secreto e comprometer o ambiente.

Spam de SEO

O spam de SEO é o terceiro hack mais comum encontrado pela Sucuri e está presente em mais da metade de todas as infecções.

Esse tipo de hack envolve infectar sites para melhorar a otimização do mecanismo de pesquisa e direcionar o tráfego para sites de terceiros, configurando redirecionamentos, publicando postagens de spam e inserindo links.

Enquanto isso, isso prejudica a pontuação de SEO do seu próprio domínio e pode afetar negativamente sua posição de classificação orgânica em mecanismos de pesquisa como o Google.

Principais estatísticas:

• 32,2% das infecções por spam de SEO estão relacionadas a injetores de spam, que apimentam o ambiente comprometido com links de spam ocultos para fins de SEO.
• Outros tipos postam uma tonelada de blogs para fins de SEO, geralmente sobre tópicos de spam.
• 28% das infecções por spam de SEO estão relacionadas a produtos farmacêuticos (Viagra, Cialis, etc.)
• 22% estavam relacionados ao spam de SEO japonês (essas campanhas poluem os resultados de pesquisa do site da vítima com produtos de design falsificados e aparecem nas SERPs em texto em japonês.
• As campanhas de redirecionamento geralmente apontam para domínios de nível superior .ga e .ta

Fontes: Sucuri ¹

Vulnerabilidades de segurança do WordPress

Em seguida, vamos ver algumas estatísticas do WordPress que nos dizem mais sobre as vulnerabilidades de segurança que os hackers exploram com mais frequência.

Qual é a maior vulnerabilidade de segurança do WordPress?

Temas e plugins são as maiores vulnerabilidades de segurança do WordPress. 99,42% de todas as vulnerabilidades de segurança no ecossistema WordPress vieram desses componentes em 2021. Isso é superior aos 96,22% em 2020.

Para detalhar um pouco mais, 92,81% das vulnerabilidades vieram de plugins e 6,61% de temas.

Entre os plugins WordPress vulneráveis, 91,38% eram plugins gratuitos disponíveis no repositório WordPress.org, e apenas 8,62% eram plugins premium vendidos em mercados de terceiros como o Envato.

Principais estatísticas:

• 42% dos sites WordPress têm pelo menos um componente vulnerável instalado.
• Curiosamente, apenas 0,58% das vulnerabilidades de segurança encontradas pelo Patchstack se originaram do software principal do WordPress.

Principais vulnerabilidades do WordPress por tipo

As vulnerabilidades de script entre sites (CSS) representam quase metade (~ 50%) de todas as vulnerabilidades adicionadas ao banco de dados do Patchstack em 2021. Isso é superior aos 36% em 2020.

Outras vulnerabilidades comuns no banco de dados incluem:

• Outros tipos de vulnerabilidade combinados – 13,3%
• Falsificação de solicitação entre sites (CSRF) - 11,2%
• Injeção de SQL (SQLi) – 6,8%
• Upload de arquivo arbitrário - 6,8%
• Autenticação quebrada - 2,8%
• Divulgação de informações – 2,4%
• Vulnerabilidade de desvio - 1,1%
• Aumento de privilégios - 1,1%
• Execução Remota de Código (RCE) - 0,9%

Principais vulnerabilidades do WordPress por gravidade

O Patchstack classifica cada vulnerabilidade em seu banco de dados de acordo com sua gravidade. Ele usa o sistema CVSS (Common Vulnerability Scoring System) para isso, que atribui um valor numérico entre 0 e 10 para cada vulnerabilidade com base em sua gravidade.

A maioria das vulnerabilidades do WordPress identificadas pelo Patchstack no ano passado recebeu uma pontuação CVSS entre 4 e 6,9, o que as torna de gravidade 'Média'.

• 3,4% das vulnerabilidades identificadas foram de gravidade crítica (pontuação CVSS 9-10)
• 17,9% das vulnerabilidades identificadas foram de alta gravidade (7-8,9 pontuação CVSS)
• 76,8% das vulnerabilidades identificadas foram de gravidade média (4-6,9 pontuação CVSS)
• 1,9% das vulnerabilidades identificadas foram de baixa gravidade (0,1-3,9 pontuação CVSS)

Principais vulnerabilidades atacadas

As quatro principais vulnerabilidades 'atacadas' no banco de dados do Patchstack foram:

• OptinMonster (versão 2.7.4 e anterior) – API REST desprotegida para divulgação de informações confidenciais e acesso não autorizado à API
• Recursos do PublishPress (versão 2.3 e anterior) – Alteração de configurações não autenticadas
• Booster for WooCommerce (versão 5.4.3 e anterior) – Autenticação Bypass
• Image Hover Effects Ultimate (versão 9.6.1 e anterior) – Atualização de opções arbitrárias não autenticadas

Fonte: Sucuri ¹ , Patchstack

Estatísticas de hackers de plugins do WordPress

Como mencionamos anteriormente, os plugins do WordPress são a fonte mais comum de vulnerabilidades de segurança que permitem que hackers se infiltrem ou comprometam seu site. Em seguida, veremos algumas estatísticas de hackers do WordPress relacionadas aos plugins do WordPress.

Caso você ainda não saiba, os plugins são pequenos aplicativos de software de terceiros que você pode instalar e ativar em seu site WordPress para estender sua funcionalidade.

Quantas vulnerabilidades de plugins do WordPress existem?

Havia 35 vulnerabilidades críticas encontradas em plugins do WordPress em 2021. Preocupantemente, duas delas estavam em plugins que tinham mais de 1 milhão de instalações: All in One SEO e WP Fastest Cache.

A boa notícia é que ambas as vulnerabilidades acima foram prontamente corrigidas pelos desenvolvedores do plugin. No entanto, 29% do número total de plugins do WordPress encontrados com vulnerabilidades críticas não receberam um patch.

Quais são os plugins WordPress mais vulneráveis?

O Contact Form 7 foi o plugin WordPress vulnerável mais comumente identificado. Foi encontrado em 36,3% de todos os sites infectados no ponto de infecção.

No entanto, é importante ressaltar que isso não significa necessariamente que o Contact Form 7 foi o vetor de ataque que os hackers exploraram nessas instâncias, apenas que contribuiu para o ambiente geral inseguro.

TimThumb foi o segundo plugin WordPress vulnerável mais comumente identificado no ponto de infecção e foi encontrado em 8,2% de todos os sites infectados. Isso é especialmente surpreendente, pois a vulnerabilidade do TimThumb tem mais de uma década.

Os 10 principais plugins WordPress vulneráveis ​​​​identificados:

Quantos plugins do WordPress você deve ter?

As melhores práticas sugerem que os proprietários e administradores de sites devem ter o menor número possível de plugins do WordPress. Quanto menos plugins você tiver, menor será o risco de encontrar uma vulnerabilidade.

O site WordPress médio possui 18 plugins e temas diferentes instalados. Isso é 5 a menos que no ano passado e, na superfície, parece ser um movimento na direção certa.

No entanto, mais desses plugins e temas foram encontrados desatualizados este ano em comparação com o ano passado. Em média, 6 de 18 dos plugins instalados em sites estavam desatualizados, em comparação com apenas 4 de 23 no ano passado.

Qual é o plugin de segurança WordPress mais popular?

Jetpack é o plugin de segurança WordPress mais popular no diretório de plugins WordPress, com mais de 5 milhões de downloads. No entanto, é discutível se o Jetpack pode ou não ser classificado como um verdadeiro plug-in de segurança.

Embora inclua recursos de segurança como 2FA, detecção de malware e proteção Brute Force, ele também inclui outros recursos para otimização de velocidade, análise e ferramentas de design. Isso o torna mais um plug-in completo do que um plug-in de segurança.

No que diz respeito aos plugins de segurança dedicados , o Wordfence é o mais popular, com 4 milhões de downloads no banco de dados de plugins do WordPress.

Vulnerabilidades do tema WordPress

12,4% das vulnerabilidades do tema WordPress identificadas pelo Patchstack tiveram uma pontuação CVSS crítica (9,0 – 10,0). E, de forma preocupante, 10 temas tinham um risco de segurança CVSS 10.0 que compromete todo o site do usuário por meio de um upload de arquivo arbitrário não autenticado e exclusão de opção.

Fontes : Patchstack, WordPress ¹ , WordPress ²

Como você pode proteger seu site WordPress de ser hackeado?

Você pode proteger seu site WordPress de ser hackeado reduzindo o uso de plugins e temas, certificando-se de atualizar todos os softwares com frequência e corrigir vulnerabilidades identificadas e através do fortalecimento do WordPress.

Aqui estão algumas estatísticas que revelam mais sobre como aumentar a segurança do seu site WordPress.

Recomendações mais comuns de proteção do WordPress

De acordo com dados da Sucuri, mais de 84% dos sites não tinham um firewall de aplicativo de site (WAF), tornando esta a principal recomendação de proteção do WordPress.

Os WAFs ajudam a corrigir virtualmente vulnerabilidades conhecidas e proteger seu site contra ataques DDoS, spam de comentários e bots ruins.

83% dos sites também foram encontrados sem o X-Frame-Options - um cabeçalho de segurança que ajuda a melhorar sua segurança, protegendo você contra clickjacking e impedindo que hackers incorporem seu site em outro por meio de um iframe. Isso torna o X-Frame-Options a segunda recomendação de endurecimento mais comum.

As 5 recomendações de endurecimento mais comuns detectadas pela Sucuri:

1. WAF ausente - 84%
2. Opções de X-Frame - 83%
3. Sem CSP - 82%
4. Segurança Estrita de Transporte - 72%
5. Sem redirecionamento para HTTPS – 17%

Como os administradores de sites protegem seus sites?

De acordo com uma pesquisa com administradores e proprietários de sites, 82% realizaram proteção de segurança, uma prática que envolve tomar medidas para tornar seu site WordPress mais difícil de hackear.

Desses, 27% usaram um plug-in para fortalecer seu site, 25% realizaram a proteção manual e 30% fizeram uma combinação de ambos. Apenas 18% não fizeram nenhum endurecimento.

Principais estatísticas:

• 81% dos administradores do WordPress pesquisados ​​têm pelo menos um plug-in de firewall instalado
• 64% dos administradores do WordPress pesquisados ​​usam 2FA (autenticação de dois fatores), enquanto 36% não
• 65% dos administradores do WordPress pesquisados ​​usam plugins de log de atividades.
• 96% dos administradores do WordPress e proprietários de sites pesquisados ​​consideram a segurança do WordPress muito importante. E 4% veem isso como algo importante
• 43% dos administradores gastam de 1 a 3 horas por mês na segurança do WordPress
• 35% dos administradores gastam mais de 3 horas por mês na segurança do WordPress
• 22% dos administradores gastam menos de 1 hora na segurança do WordPress.

Como os profissionais da web protegem os sites de seus clientes?

De acordo com uma pesquisa recente, quase metade de todos os profissionais da web que trabalham com clientes confiam em plugins de segurança premium para proteger os sites de seus clientes:

Principais métodos que os profissionais da web usam para proteger sites de clientes:

• 45,6% pagam por plugins de segurança premium
• 42,4% usam plugins de segurança gratuitos
• 31,2% pagam a um provedor de segurança profissional
• 28,8% lidam com problemas de segurança internamente
• 24,8% encaminham seus clientes para um provedor de segurança profissional
• 10,4% usam outros métodos
• 6,4% dizem aos seus clientes para usar plugins gratuitos
• 5,6% não têm um plano de segurança do site

Principais tarefas de segurança que os profissionais da Web realizam

Atualizar o WordPress (ou qualquer CMS que o cliente use) e plugins é a tarefa de segurança mais comum realizada por profissionais da web, com três quartos de todos os entrevistados dizendo que isso é algo que eles fazem.

Principais tarefas que os profissionais de segurança da Web realizam para seus clientes:

• 75% atualizam CMS e plugins
• 67% sites de backup
• 57% instalam certificados SSL
• 56% monitoram ou verificam sites em busca de malware
• 38% corrigem sites relacionados a problemas de segurança
• 34% de vulnerabilidades de patches

Com que frequência você deve atualizar seu site WordPress?

Como mencionamos anteriormente, manter seu site WordPress atualizado é extremamente importante do ponto de vista da segurança.

A maioria dos gerentes de site atualiza seu site semanalmente (35%), mas 20% executam atualizações diariamente e 18% o fazem mensalmente. 21% dos gerentes de sites têm algum tipo de atualização automática configurada para que não precisem fazer isso manualmente.

Principais estatísticas:

• 52% dos proprietários e administradores do WP pesquisados ​​têm atualizações automáticas habilitadas para software, plugins e temas do WP.
• 25% sempre testam as atualizações em um ambiente de teste ou teste primeiro
• 32% às vezes testam atualizações
• 17% nunca testam atualizações
• 26% testam apenas as principais atualizações

Fontes: Sucuri ² , Sucuri ³ , WP White Security

Os custos de hackear o WordPress

Ser hackeado pode custar uma pequena fortuna às empresas. A remoção profissional de malware custa em média US$ 613, mas pode custar milhares — ou até milhões — de dólares a mais para se recuperar de uma violação de dados grave.

Além dos custos monetários, o hacking do WordPress também pode afetar indiretamente o dinheiro das empresas, impactando as receitas e prejudicando a reputação da marca.

Quanto custa consertar um site WordPress hackeado?

O custo médio da remoção de malware do WordPress é de US$ 613, mas isso pode variar substancialmente de caso para caso. Individualmente, os preços variaram de US$ 50 até US$ 4.800.

Em comparação, pagar pela segurança do site para proteger seu site contra malware custa apenas US$ 8 por site/mês, em média, tornando-se um acéfalo para a maioria dos proprietários de sites.

Quanto custam as violações de dados para as empresas?

O hacking é responsável por 45% das violações de dados em todo o mundo. E, em média, o custo médio de uma violação de dados é de US$ 3,86 milhões. Mas é claro que isso varia de acordo com o tamanho da organização, indústria, etc.

Quais são os maiores impactos do hacking do WordPress?

De acordo com os profissionais da web pesquisados, o maior impacto de um hack no negócio de seus clientes foi a perda de tempo (59,2%). Outros impactos negativos incluem:

• Perda de receita – 27,2%
• Perda na confiança do cliente – 26,4%
• Perda na reputação da marca – 25,6%
• Sem interrupção - 17,6%

Fontes: Patchstack, Statista, Sucuri ³

Qual é a versão mais segura do WordPress?

A versão mais segura do WordPress é sempre a versão mais recente. No momento da escrita, este é o WordPress 6.0.2.

Com que frequência o WordPress lança atualizações de segurança?

O WordPress normalmente lança várias atualizações de segurança e manutenção todos os anos. Havia 4 em 2021. A versão de segurança mais recente (no momento da redação) era o WordPress 6.0.2, que corrigiu três problemas de segurança: uma vulnerabilidade XSS, um problema de escape de saída e uma possível injeção de SQL.

As versões antigas do WordPress são facilmente hackeadas?

Apenas 50,3% dos sites WordPress estavam desatualizados quando infectados, o que sugere que a execução de uma versão desatualizada do software WordPress se correlaciona apenas aproximadamente com a infecção. No entanto, as melhores práticas sugerem que você sempre deve usar a versão mais recente do WordPress para minimizar o risco de ser hackeado.

Fontes: Sucuri ¹ , WordPress ³

Pensamentos finais

Isso conclui nosso resumo das estatísticas mais importantes de hackers do WordPress para 2022. Esperamos que você tenha achado esses dados úteis!

Se você quiser aprender ainda mais sobre o WordPress, confira nosso resumo de estatísticas do WordPress.

Você também pode aprender mais sobre como proteger seu site contra hackers lendo nosso guia detalhado sobre como melhorar a segurança do WordPress em 2022.

Boa sorte!