Im vergangenen Jahr wurden laut dem Sicherheitsunternehmen Wordfence fast eine Million WordPress-Websites mit Malware infiziert. Laut dem jährlichen „WordPress Security Report“ waren täglich zwischen 325,000 und 350,000 Websites infiziert. Die Malware auf WordPress-Websites versucht beispielsweise, Besucher mit Malware zu infizieren, indem sie ihnen sogenannte „Browser-Updates“ anbietet oder Besucher auf eine betrügerische Website umleitet.
In vielen Fällen werden WordPress-Websites über anfällige Plug-ins kompromittiert, und davon gab es laut Bericht im letzten Jahr viele. Laut WordfenceDie Nutzung von Schwachstellen zur Kompromittierung von Websites nahm zu, während die Zahl der Passwortangriffe zurückging. Laut Wordfence ist dies auf eine verbesserte Passwortsicherheit wie die Zwei-Faktor-Authentifizierung (2FA) zurückzuführen.
WordPress Core, die grundlegende WordPress-Installation, wies im vergangenen Jahr nur fünf Sicherheitslücken auf. Bei den Plug-ins für die Plattform waren es über achttausend, von denen zweitausend noch auf ein Update warten. Die am häufigsten angegriffene „WordPress-Sicherheitslücke“ des vergangenen Jahres betraf das LiteSpeed Cache-Plug-in, gefolgt von einer Sicherheitslücke im WP Meta SEO-Plug-in.
WordPress-Administratoren wird daher empfohlen, ihre Installationen und Plugins stets auf dem neuesten Stand zu halten. Darüber hinaus wird eine gute Passworthygiene empfohlen, z. B. die Einrichtung von 2FA und die Vermeidung veralteter, nicht mehr unterstützter oder nicht mehr verwendeter Software. Laut Wordfence liegt der Grund für fehlende Patches anfälliger Plugins oft darin, dass die Entwickler nicht mehr erreichbar sind oder schlichtweg nicht reagieren.