Эксперты Wordfence назвали основные угрозы для сайтов на WordPress

Исследователи из компании Wordfence опубликовали отчёт об основных угрозах для сайтов на WordPress, наблюдаемых в 2020 году.

Отчёт основан на данных по 4 млн сайтов, которые установили программное обеспечение Wordfence. Компания является разработчиком одноименного плагина безопасности для WordPress.

В отчёте основные угрозы разделены на три категории:

  • Вредоносное ПО из пиратских тем и плагинов
  • Вредоносные попытки входа в систему
  • Эксплуатация уязвимостей

Вредоносное ПО из пиратских тем и плагинов

Самой распространённой угрозой для сайтов на WP является вредоносное ПО из пиратских тем и плагинов.

В прошлом году специалисты Wordfence выявили более 70 млн вредоносных файлов на 1,2 млн WordPress-сайтов. Более 17% всех инфицированных сайтов содержали вредоносное ПО из плагина или темы с нулевым кодом.

Самым частым вредоносным ПО для WordPress было WP-VCD, на долю которого приходилось 154 928 или 13% всех зараженных сайтов в 2020 году.

Наилучший способ защитить сайт от этого типа атак – покупать лицензионные темы и плагины и своевременно их обновлять.

Если средств на это нет, то оптимальный вариант – бесплатные плагины от надёжных разработчиков.

Вредоносные попытки входа в систему

В 2020 году Wordfence выявил и заблокировал более 90 млрд вредоносных попыток входа в систему из более чем 57 млн уникальных IP-адресов. Это значит, что ежесекундно на WordPress-сайты совершается 2800 атак такого рода.

Защитить сайт от таких атак можно, настроив многофакторную аутентификацию.

Эксплуатация уязвимостей

Согласно отчёту Wordfence, в 2020 году было зафиксировано 4,3 млрд попыток использовать уязвимости из более чем 9,7 млн уникальных IP-адресов.

5 самых частых типов атак в этой категории в 2020 году:

  1. Directory Traversal: на атаки этого типа приходилось 43% всех попыток эксплуатации уязвимостей (1,8 млрд атак).
  2. Внедрение SQL-кода (SQL injection): 21% всех попыток (909,4 млн атак).
  3. Загрузка вредоносных файлов: 11% всех попыток (454,8 млн атак).
  4. Межсайтовый скриптинг (XSS): 8% всех попыток (330 млн атак).
  5. Обход аутентификации (Authentication Bypass): 3% всех попыток (140,8 млн атак).


Все 4 млн сайтов, которые отслеживались Wordfence, подверглись минимум одной атаке из этого списка.

Защитить сайт от данного типа атак можно с помощью брандмауэра.

Со всеми данными отчёта Wordfence можно ознакомиться здесь.

preview Google об одинаковых ссылках с разным анкорным текстом на странице

Google об одинаковых ссылках с разным анкорным текстом на странице

Может ли это расцениваться как спам
preview Google: Core Web Vitals измеряются одинаково для всех типов сайтов

Google: Core Web Vitals измеряются одинаково для всех типов сайтов

И для новостных, и для e-commerce ресурсов
preview Google: встроенные видео имеют ту же ценность для SEO, что и загруженные

Google: встроенные видео имеют ту же ценность для SEO, что и загруженные

Разницы между ними нет
preview Google о повторяющемся контенте на сайте и его влиянии на ранжирование

Google о повторяющемся контенте на сайте и его влиянии на ранжирование

На примере e-commerce ресурсов