2021年のWordPress脆弱性年次報告書を読む
公開: 2022-01-27WordPressのユーザーまたは開発者として、直面する最大の課題の1つは、脆弱性や悪意のある攻撃の脅威からサイトを完全に保護することであることをすでにご存知でしょう。
ウェブサイトとオンラインセキュリティが絶えず攻撃されている不確実な世界では、すべてのWordPressサイト所有者は、以前よりもセキュリティプロトコルを真剣に受け止める必要があります。
初めての2021WordPress脆弱性レポートでリリースされたばかりのデータは、報告された2021 WordPress脆弱性の年間全体を示すだけでなく、ハッカーが最も頻繁に悪用する特定の脆弱性も明らかにします。
たとえば、2021年のWordPressの脆弱性全体の97.1%がプラグインによるものであることをご存知ですか? 安全なWordPressサイトを運営することがあなたにとって重要であるかどうかを知ることは重要です。
ここiThemesでは、問題を指摘するだけではありません。 また、WordPressWebサイトを脆弱性から完全に保護するために機能する実証済みのソリューションを提供したいと考えています。 そして、このデータを確認した後、WordPressサイトを完全に保護するために何をすべきかを正確に学びます。
2021年の最大のポイント:WordPressプラグインに注目してください
2021年には、昨年開示されたすべてのWordPressの脆弱性の97.1%が、プラグインの問題によるものでした。 あなたはその権利を読んだ。
ソース別の2021年の脆弱性
| 脆弱性ソース | 報告された数 | 合計のパーセンテージ(1,628) |
|---|---|---|
| WordPressコア | 8 | 0.05% |
| プラグイン | 1581 | 97.1% |
| テーマ | 39 | 2.4% |
しかし、最も懸念されるのは、2021年に報告された1581個のプラグインの脆弱性のうち、23.2%に既知の修正がなかったことです。 これは、2022年以降に進むにつれて、ダウンロードして使用するプラグインにさらに注意を払う必要があることを意味します。
たとえば、未知のプラグイン開発者から無料のプラグインソリューションを入手できる場合でも、そのセキュリティを完全に信頼していますか? データが示すように、報告されたプラグインの脆弱性の29%は、開発者によってまだパッチが適用されていません。
開示時のプラグインステータス
| 脅威レベル | 報告された数 | 合計のパーセンテージ(1,628) |
|---|---|---|
| パッチを適用 | 1156 | 71% |
| 既知の修正はありません | 377 | 23.2% |
| プラグインが閉じられました | 95 | 5.8% |
可能な限り、信頼できるプラグイン開発者に固執し、nullのWordPressプラグインとテーマを使用しないでください。 そしてもちろん、プラグインとテーマがリリースされるたびに、利用可能なパッチで最新の状態に保ちます。
ただし、それを行った場合でも、プラグイン開発者がパッチを作成して修正する前に、熟練したハッカーや悪意のある攻撃者が脆弱性を悪用します。
これがまさに、WordPressサイトが堅固なセキュリティ保護を必要とする理由です。これについては後で説明します。
今のところ、iThemes Security Proプラグインには、バージョン管理機能と組み合わせて既知の脆弱性を自動的にスキャンし、脆弱なプラグインを自動更新する組み込みのサイトスキャナーがあるため、それほど心配する必要はありません。あなたのサイトのセキュリティについて。
2021年9月に報告された脆弱性の大幅な増加
9月は他の月から際立っていた月でした。 実際、9月には、報告された脆弱性全体の20.5%、つまり合計335が見られました。 見方をすれば、脆弱性の数が2番目に多いのは10月で、173件の報告がありました。 7月は157回発生し、それほど遅れていませんでした。
月ごとの個々のプラグイン/テーマ/コアごとの脆弱性(2021)
| 月 | プラグイン | テーマ | 芯 |
|---|---|---|---|
| 1月 | 19 | 0 | 0 |
| 2月 | 42 | 2 | 0 |
| 行進 | 58 | 1 | 0 |
| 4月 | 67 | 1 | 2 |
| 5月 | 37 | 5 | 2 |
| 六月 | 80 | 7 | 0 |
| 7月 | 157 | 7 | 0 |
| 8月 | 149 | 0 | 0 |
| 9月 | 335 | 3 | 1 |
| 10月 | 173 | 1 | 0 |
| 11月 | 120 | 0 | 0 |
| 12月 | 45 | 0 | 0 |
2022年にさらに進むと、同様のパターンが発生するかどうかを知ることは確かに不可能ですが、これは私たちの目を離さないための重要なデータです。
月別の脅威レベル別の脆弱性(2021年)
| 月 | 致命的 | 高い | 中くらい | 低い |
|---|---|---|---|---|
| 1月 | 5 | 3 | 11 | 1 |
| 2月 | 25 | 10 | 0 | 21 |
| 行進 | 16 | 19 | 35 | 0 |
| 4月 | 25 | 27 | 37 | 1 |
| 5月 | 4 | 18 | 32 | 3 |
| 六月 | 7 | 18 | 64 | 1 |
| 7月 | 8 | 65 | 120 | 9 |
| 8月 | 11 | 135 | 56 | 37 |
| 9月 | 19 | 174 | 156 | 38 |
| 10月 | 8 | 73 | 75 | 62 |
| 11月 | 9 | 46 | 53 | 22 |
| 12月 | 0 | 30 | 18 | 9 |
最も一般的なプラグインの脆弱性としてのクロスサイトスクリプティング
クロスサイトスクリプティング(XSS)は、プラグインやテーマなど、多くのWordPressアプリケーションに見られるWebサイトのセキュリティの脆弱性の一種です。
これらのXSS攻撃により、攻撃者は他のユーザーが表示するWordPressWebページにクライアント側のスクリプトを挿入できます。 攻撃者はクロスサイトスクリプティングの脆弱性を利用して、アクセス制御をバイパスし、サイトのバックエンドに完全にアクセスする可能性があります。
2021年にWordPressWebサイトで実行されたクロスサイトスクリプティングは、WordPressのすべての脆弱性の54.4%を占めました。 そして、それは合計885の脆弱性でした。
| 脅威レベル | 報告された数 | 合計のパーセンテージ(1,628) |
|---|---|---|
| クロスサイトスクリプティング(CSS) | 885 | 54.4% |
| クロスサイト偽造リクエスト(CSFR) | 167 | 10.2% |
| SQLインジェクション | 152 | 9.3% |
| バイパス | 68 | 4.2% |
| RCEの脆弱性 | 20 | 1.2% |
| PHPの脆弱性 | 19 | 1.2% |
| Varディスクロージャー | 19 | 1.2% |
| REST API | 11 | 0.7% |
| 機密情報の開示 | 6 | 0.4% |
| 他のすべて | 281 | 17.3% |
ご覧のとおり、クロスサイトスクリプティングはすべてのWordPressサイト所有者にとって主要なセキュリティ上の懸念事項です。 しかし、脆弱性の懸念はそれだけではありません。
別の10.2%、つまり167の脆弱性は、クロスサイト偽造要求(CSFR)に起因していました。
クロスサイトリクエストフォージェリは、ワンクリック攻撃またはセッションライディングとも呼ばれ、Webアプリケーションが信頼するユーザーから不正なコマンドが送信される、Webサイトの悪意のあるエクスプロイトの一種です。
適切なWordPressセキュリティプロトコルが設定されていないと、WordPressWebサイトがあらゆる種類のクロスサイト攻撃に広くさらされていることを確認するのにそれほど時間はかかりません。
ただし、懸念すべき脆弱性の種類はこれらだけではありません。 それらを超えて、2021年に報告された7つの異なるタイプの脆弱性があります。
また、レポートで「その他」とラベル付けされている、報告された脆弱性の281、つまり17.3%を却下しないでください。
多くの場合、これらのタイプの攻撃は、テーマやプラグインの開発者にはまだ理解されていないものであり、サイトの損傷やハッキングを防ぐために強力なWordPressセキュリティプラグインが必要です。
2021年の脆弱性の脅威レベル
| 脅威レベル | 報告された数 | 合計のパーセンテージ(1,628) |
|---|---|---|
| 致命的 | 137 | 8.4% |
| 高い | 630 | 38.7% |
| 中くらい | 678 | 41.6% |
| 低い | 183 | 11.2% |
WordPressのコアとテーマの脆弱性
WordPressサイトの所有者として、潜在的な攻撃を回避するためにプラグインを常に更新しておくことの重要性をすでにご存知でしょう。
結局のところ、脆弱性の大部分はプラグインを介して悪用されています。
しかし、2021年の数字が示すように、プラグインはセキュリティプロトコルの始まりと終わりではありません。 使用するプラグインに100%警戒し、プラグインを最新の状態に保つ場合でも、テーマの脆弱性によってサイトが悪用される可能性があります。
また、コアのWordPressソフトウェアを介して悪用することもできます。 昨年、WordPressコアとさまざまなテーマを通じて悪用された合計47の脆弱性が見られました。 その数は、2021年のWordPressセキュリティの脆弱性全体の約2.5%を占めています。
それほど多くはないように思われるかもしれませんが、悪用されたサイトの脆弱性を1つだけ使用して、Webサイトとビジネスの評判を完全に台無しにすることができます。
もちろん、最初の解決策は、WordPressコアとテーマに常にパッチを適用して更新することです。 しかし、プラグインに関して述べたように、それは過去の既知の脆弱性を解決するのに役立つだけです。
新しいものについては、悪意のある攻撃がリアルタイムで発生していることを検出する方法を知っているセキュリティソフトウェアを実行する必要があります。
2022年にウェブサイトのセキュリティに焦点を当てることを忘れないでください
これは、iThemesSecurityProプラグインがWordPressサイトを安全に保つために介入する場所です。 使いやすく簡単なWordPressセキュリティソリューションを使用すると、サイトがハッカーや悪意のある攻撃から完全に保護されていることを知って、夜はすぐによく眠れるようになります。
最初のステップは、サイトが常に受けているセキュリティの脅威の攻撃を理解することです。 その後、iThemes Security Proを入手して、WordPressWebサイトのセキュリティプロトコルについて真剣に考えましょう。
既知のWordPressの脆弱性をスキャンする組み込みのWordPressサイトスキャナーと、ブルートフォース保護などのログインページの保護レイヤー、ファイル変更の検出、ユーザーロギングを組み合わせることで、サイトはハッキングやセキュリティ侵害に対して強力な防御を行います。 。
最高のWordPressセキュリティプラグイン安全& 守るWordPress
2014年以来WordPressのセキュリティ専門家によって構築されました
WordPressは現在すべてのWebサイトの40%以上に電力を供給しているため、悪意のあるハッカーにとって簡単な標的になっています。 iThemes Security Proは、WordPressのセキュリティから当て推量を取り除き、WordPressWebサイトの保護と保護を容易にします。
