Каждый разработчик, агентство или владелец сайта должен знать о тревожном состоянии статистики хакерских сайтов. Почти каждое построенное программное обеспечение может быть каким-то образом взломано, и статистика даст некоторое представление о том, на что нужно обратить внимание.
Кибербезопасность теперь является повседневной проблемой для компаний. Веб-сайты взламываются каждый день, и некоторые из этих хакеров фатальны для атакующих компаний.
«Киберпреступность — самая большая угроза для любой компании в мире». — Председатель, президент и генеральный директор IBM
Вам нужна независимая оценка сайтов? Проверить сайт на предмет мошенничества? фин обзор может любой проект проверить на предмет безопасности — не является сайт или курс мошенническим.
Чтобы дать вам лучшее представление о текущей статистике хакерства веб-сайтов, мы собрали необходимую статистику хакерских сайтов.
Было проведено исследование, в котором говорилось, что в среднем каждые 39 секунд в сети происходит атака, а используемые незащищенные имена пользователей и пароли дают злоумышленникам больше шансов на успех.
( Источник: Security Magazine)
Атака не всегда означает, что что-то взломано. Происходит тысячи атак, направленных на различные сайты. Эти атаки должны регистрироваться и отслеживаться системой брандмауэров, а брандмауэр веб-приложений на веб-сайте должен гарантировать, что атаки не будут успешными.
Хакеры крадут 75 записей каждую секунду.
(Источник: Breach Level Index)
Эти факты показывают нам среднее количество украденных записей в секунду. Нарушения, как правило, на самом деле редки, но когда они случаются, как мы видели, появляется много записей, которые украдены сразу.
73% хакеров из черной шляпы заявили, что традиционный брандмауэр и антивирусная защита неактуальны или устарели. — (Источник: Thycotic.com)
Это правда, но только когда мы говорим о целевых атаках. Под целенаправленной атакой мы подразумеваем, что хакер специально выбрал ваш сайт и теперь пытается найти точку входа.
Атаки, которые обычно направлены на веб-сайты или веб-приложения, осуществляются с помощью ботов. Обычно это означает, что автоматизированному инструменту предписано искать определенную уязвимость или программное обеспечение, которое имеет уязвимость.
Чаще всего это происходит на сайтах WordPress, где хакеры пытаются использовать уязвимости в популярных плагинах. Здесь вам нужен брандмауэр с виртуальными патчами для защиты.
Хакеры ежедневно создают 300 000 новых вредоносных программ . — (Источник: McAfee)
На самом деле, только в 2017 году было создано более 317 миллионов новых вредоносных программ — компьютерных вирусов или другого вредоносного программного обеспечения (Источник: CNN) . К сожалению, мы еще не знаем статистику того, сколько было создано ежедневно в 2019 году.
В среднем каждый день взламывается 30 000 новых сайтов. — (Источник: Forbes)
Эти 30 000 сайтов обычно являются законными сайтами малого бизнеса, которые невольно распространяют вредоносное ПО. Вы можете прочитать о том, почему кто-то взломал сайт малого бизнеса здесь.
WordPress является одной из основных целей для хакеров, и это может быть потому, что он имеет обширную базу пользователей. Главная угроза, как видно, не сам WordPress, а широкий спектр сторонних плагинов, которые используются пользователями WordPress.
Делает ли WordPress свое ядро более безопасным или нет, эффективность этих тактик безопасности не распространяется на его плагины. Это потому, что WordPress позволяет пользователям расширять базовые функции платформы, используя все эти различные виды компонентов.
Уязвимости, наиболее часто встречающиеся в плагинах WordPress, могут варьироваться от раскрытия конфиденциальной информации до внедрения SQL и удаленного выполнения кода.
Поскольку WordPress используется более чем 35% всех веб-сайтов, неудивительно, что он также зарегистрирован в качестве сайта с наибольшим количеством уязвимостей (542) в 2018 году, что на 30% больше, чем в 2017 году (рисунок 5).
Согласно официальному сайту WordPress, текущее количество плагинов составляет 54 971, а количество плагинов фактически уменьшилось с конца 2018 года.
Несмотря на медленный рост или уменьшение количества новых плагинов, количество уязвимостей WordPress все еще увеличивается. Объяснением этого может быть либо качество кода плагинов, либо тот факт, что WordPress является такой популярной CMS, которая побуждает все больше злоумышленников разрабатывать инструменты атаки и попытать счастья в поиске дыр в безопасности кода.
Очень тревожный факт о статистике взлома сайтов: 98% уязвимостей WordPress связаны с плагинами. (См. Рисунок 7 ниже.)
Наиболее популярными типами уязвимостей в плагинах WordPress являются межсайтовый скриптинг и SQL-инъекция.
Согласно CVE Details, XSS-атаки являются самой большой угрозой для сайтов WordPress. Второй по популярности тип атаки — выполнение кода, а третий — различные уязвимости обхода.
Что еще больше всего беспокоит, так это то, что в этих 10 самых популярных плагинов WordPress вы видите 5 коммерческих плагинов, они имеют около 21 миллиона загрузок, и один из этих плагинов представляет собой плагин безопасности. (Источник: WP WhiteSecurity)
В довершение всего, еще более печально то, что любой может создать плагин и опубликовать его — WordPress с открытым исходным кодом, и никто не выполняет анализ кода до того, как новый плагин будет разослан по всему миру. Кроме того, нет серьезных стандартов безопасности для этих плагинов, следовательно, плагины WordPress, к сожалению, подвержены уязвимостям.
Согласно статистике, веб-приложения стали целью № 1 для использования уязвимостей, и, к сожалению, все виды программного обеспечения подвержены нарушениям безопасности.
В 2018 году исследователи обнаружили около 70 типов слабых мест в веб-приложениях . Как всегда, уязвимости межсайтового скриптинга (XSS) присутствуют во многих веб-приложениях. (Источник: PT Security)
46% веб-приложений имеют критические уязвимости. — Отчет Acunetix «Уязвимость веб-приложений 2019»
Четыре из пяти веб-приложений содержали ошибки конфигурации, такие как настройки по умолчанию, стандартные пароли, отчеты об ошибках, раскрытие полного пути и другие утечки информации, которые могут иметь значение для потенциальных злоумышленников. ( Источник: PT Security )
30% веб-приложений уязвимы для XSS . — Отчет Acunetix «Уязвимость веб-приложений 2019»
Обычно целью злоумышленника является заставить жертву невольно запустить вредоносный скрипт, который выполняется доверенным веб-приложением. Таким образом, киберпреступник может украсть данные пользователя или даже изменить приложения для отправки конфиденциальных данных любому получателю.
Существуют разные источники статистики взлома веб-сайтов, из которых мы нашли информацию, и некоторые данные различаются. Согласно отчету ENISA об угрозе ландшафта, составленному в 2018 году, наиболее популярным типом атак были инъекции SQL-запросов, лидировавшие с 51%. Локальное включение файлов занимает второе место с 34%, а межсайтовый скриптинг — третье с 8%.
Согласно исследованию, американцы больше обеспокоены киберпреступностью, чем насильственными преступлениями (включая терроризм, убийства и сексуальные посягательства). Мало того, что американцы больше волнуются о киберпреступности, чем другие преступления, но их беспокойство о киберпреступлениях было последовательным в течение приблизительно десятилетия. (Источник: news.gallup.com)
Как видно из рисунка выше, в исследовании говорится, что из 13 измеренных преступлений американцы по-прежнему больше всего беспокоятся о киберпреступности. 71% беспокоятся о взломе личных данных, а 67% — о краже личных данных.
Для сравнения, только 24% людей, участвовавших в исследовании, были обеспокоены тем, что могут стать жертвами терроризма, 22% беспокоились о том, что на них напали во время вождения, 20% — о том, что подверглись сексуальному насилию, и 17% — об убийстве.
Исследование более 4000 организаций в США, Великобритании, Германии, Испании и Нидерландах показало, что большинство организаций не готовы и могут серьезно пострадать от кибератаки. В нем говорится, что колоссальные 73 процента компаний не готовы к кибератаке. (Источник: hiscox.co.uk)
Эта статистика показывает, как важно всегда быть в курсе того, что происходит с вашей компанией, людьми и программным обеспечением, которое вы используете.
Чтобы быть бдительными и защищенными, вы всегда должны обновлять и контролировать используемое программное обеспечение. Убедитесь, что вы всегда в курсе компонентов, которые вы используете в своих веб-приложениях, и всегда удаляйте те, которые вы не используете.
Выберите надежного хостинг-провайдера.
Также очень важно выбрать правильного поставщика безопасности для вашего сайта WordPress или любого веб-приложения. Что касается плагинов безопасности WordPress, сначала мы рекомендуем вам лучше понять экосистему плагинов безопасности WordPress и то, как они все работают. Найдите тот, который может предложить виртуальные исправления, и прежде чем включать брандмауэр в своем веб-приложении, взгляните на код.
Если у вас нет технических навыков для оценки выбранного кода брандмауэра, обратитесь за помощью к профессионалу. Всегда помните, что когда дело доходит до безопасности — сделайте свое исследование, прежде чем покупать модное ведро надежды. Будь критичны и умны.