WordPress 보안 통계: WordPress는 실제로 얼마나 안전한가요?
게시 됨: 2023-11-01워드프레스는 정말 안전한가요? 이는 아마도 많은 신규 사용자의 마음 속에 떠오르는 질문일 것입니다. 특히 오픈 소스 프로젝트라는 말을 들을 때 더욱 그렇습니다. 그렇다면 답변을 제공할 수 있는 WordPress 보안에 대한 통계가 있습니까?
사실, 이 게시물에서 우리는 이 주제에 대해 가능한 한 많은 의미 있는 수치를 수집하려고 노력했습니다. 아래에서는 WordPress 코어, 테마 및 플러그인, 로그인 정보, 호스팅 환경의 보안에 관한 업계 보고서와 통계를 살펴보겠습니다.
결국, 우리는 당신이 WordPress의 안전 상황에 대해 좋은 아이디어를 가질 뿐만 아니라 위험이 어디에 있는지 정확히 알고 이를 해결할 수 있기를 바랍니다.
통계적으로 WordPress는 해커에게 가장 인기 있는 공격 대상입니다.
WordPress 보안에 관해 이야기할 때 중요한 첫 번째 데이터 포인트는 43%입니다. W3Techs에 따르면 이는 WordPress에서 실행되는 웹사이트의 전 세계 점유율입니다. 이는 콘텐츠 관리 시스템의 시장 점유율(더 높음)이 아니라 인터넷의 전체 웹사이트 점유율이라는 점에 유의하세요.
꽤 큰 숫자입니다. 이는 WordPress 팬으로서 자랑스러워할 일이지만 노출이라는 단점도 있기 때문에 중요합니다.
WordPress에서 실행되는 수많은 웹사이트는 해당 플랫폼이 해커의 주요 표적이라는 것을 의미합니다. 실제로 Sucuri의 2022년 위협 연구 보고서에 따르면 WordPress 사이트는 감염된 전체 웹사이트의 96.2%를 차지했습니다.
정말 안전하지 않은 것 같죠?
이와 같은 통계를 단독으로 보면 WordPress에 실제로 보안 문제가 있다는 생각이 가장 먼저 들 수 있습니다. 성공적인 해킹의 대다수를 차지하는 이유는 무엇입니까?
이것이 우리가 첫 번째 숫자부터 시작한 이유입니다. WordPress는 훨씬 더 눈에 띄고 수익성이 좋은 타겟입니다. 사용자 기반이 훨씬 작은 시스템보다는 문자 그대로 수억 개의 웹사이트를 공격할 수 있는 시스템을 선택하는 것이 훨씬 더 경제적이고 효율적입니다. 해커들도 그렇게 생각하는 것 같습니다.
나쁜 소식은 그들이 종종 성공한다는 것입니다. 매년 수십만 개의 WordPress 웹사이트가 성공적으로 해킹됩니다. 좋은 소식은 아래에서 볼 수 있듯이 WordPress가 본질적으로 안전하지 않기 때문이 아니라는 것입니다. 실제로 이러한 성공적인 해킹 중 상당수는 완전히 피할 수 있습니다. 자신을 보호하는 방법만 알면 됩니다.
WordPress 핵심 취약점 통계
WordPress가 안전한지 여부에 대한 답을 찾기 위해 WordPress 핵심 소프트웨어의 보안에 대한 통계부터 시작하겠습니다.
해킹된 웹사이트의 대부분은 업데이트되지 않았습니다
Sucuri 보고서에 따르면 해킹된 대부분의 WordPress 웹사이트는 오래된 것입니다. 2022년에는 맬웨어에 감염된 사람 중 절반 이상이 최신 버전의 WordPress에서 실행되지 않았습니다.
이는 놀라운 일이 아닙니다. 일부 이전 버전의 CMS에는 공개적으로 공개된 잘 알려진 보안 문제가 있습니다. 그러므로 만약 당신이 그 중 하나에서 당신의 웹사이트를 계속 운영한다면, 당신은 그것을 이용하도록 누군가를 초대하는 것입니다.
실제로 보안 문제가 가장 많은 워드프레스 에디션은 모두 버전 4.0까지이다. 그 이후로 취약점 수는 꾸준히 감소했습니다.
Sucuri 보고서도 이를 반영합니다. 이전 수치에 비해 업데이트가 되지 않아 해킹된 워드프레스 사이트의 비율이 감소했습니다.
실제로 WordPress는 그들이 접한 모든 CMS 중에서 오래된 버전으로 인해 감염률이 가장 낮았습니다.
이는 2년 연속 그랬고 그 동안 워드프레스의 점유율은 소폭 하락했다. 비교를 위해 2021년을 살펴보겠습니다.
이것은 WordPress 문제가 아닌 사용자 문제입니다.
그렇다면 WordPress 사용자의 웹사이트 업데이트 상태는 어떤가요? 글쎄요, 많은 사람들은 그렇지 않습니다. WordPress.org에서 추적하는 실제 웹사이트에서 실행되는 WordPress 버전은 다음과 같습니다.
보시다시피, 약 60%%만이 최신 버전을 사용하고 있습니다. 그러나 좋은 소식은 적어도 대다수가 취약성 상황이 훨씬 좋아지는 WordPress 4.0 이상을 사용하고 있다는 것입니다. 게다가 3분기는 최신 메이저 버전으로 업데이트돼 이전보다 개선됐다. 2016년에는 그 비중이 약 50%에 불과했습니다.
그 이유 중 하나는 버전 5.6에 도입된 자동 업데이트 때문일 수 있습니다. 더 이상 업데이트 버튼을 수동으로 클릭하기 위해 사용자에게 의존할 필요가 없습니다. 대신 웹사이트는 새로운 WordPress 버전을 자동으로 설치할 수 있는데, 이는 분명히 이러한 긍정적인 추세에 기여한 것 같습니다.
WordPress 보안 인프라가 작동합니다.
사용자가 웹사이트 업데이트를 꺼려함에도 불구하고 WordPress 코어의 안전 시스템은 제 역할을 매우 잘 수행합니다. WordPress 보안 팀은 모든 새로운 WordPress 릴리스에서 문제를 신속하게 찾아 패치합니다.
2023년에는 이미 20~30개의 잠재적 취약점을 패치한 세 가지 보안 릴리스가 있었습니다. WordPress 6.0.3에만 16개의 보안 수정 사항이 포함되어 있습니다. 2022년 이 프로젝트에는 총 26개의 보안 버그를 해결한 4개의 보안 릴리스도 있었습니다.
또한 이러한 경계는 생태계의 다른 부분으로까지 확장됩니다. Elementor는 신속하게 패치된 심각한 취약점에 직면했고 Ninja Forms는 WordPress.org로부터 강제 업데이트를 받았으며 BackupBuddy는 심각도가 높은 보안 결함도 패치하고 업데이트된 버전을 사용자에게 푸시했습니다.
따라서 WordPress에는 다른 모든 소프트웨어와 마찬가지로 보안 문제가 있지만 신속하게 대응할 수 있는 안전 장치가 마련되어 있습니다. 남아 있는 가장 큰 장애물 중 하나는 사용자가 솔루션을 적용하도록 유도하는 것입니다.
WordPress 테마 및 플러그인 보안에 대한 통계
가장 인기 있는 CMS인 WordPress에는 수많은 확장 기능이 제공되며 그 중 대부분은 무료입니다. 이 글을 쓰는 시점에는 WordPress 디렉토리에만 거의 60,000개의 플러그인과 11,000개 이상의 테마가 있습니다.
이는 웹의 다른 부분에서 프리미엄 솔루션으로 제공되는 수천 개의 다른 플러그인을 포함하지도 않습니다. 이것이 바로 WordPress의 멋진 점입니다. 무엇을 찾고 있든 이미 그에 대한 솔루션이 있을 가능성이 높습니다.
동시에 사이트에 설치하는 각 확장 프로그램은 공격자의 잠재적인 진입점이 됩니다. 테마와 플러그인은 개별 개발자의 책임입니다. WordPress 코어만큼 엄격한 테스트를 거치지 않았으므로 보안 결함이 있을 가능성이 더 높습니다. 또한 때로는 개발자가 작업 지원을 중단하여 구식이 되는 경우도 있습니다.
따라서 WordPress 보안 통계, 특히 플러그인에서 큰 역할을 한다는 것은 놀라운 일이 아닙니다. 실제로 WPScan.com에 따르면 여기에는 WordPress 취약점의 대부분이 포함되어 있습니다.
패치스택도 비슷한 수치를 보였습니다.
특히 무료 플러그인이 문제인 것 같습니다. Sucuri는 프리미엄 테마와 플러그인이 모든 타사 취약점의 8.62%를 차지하고 무료 확장 프로그램이 91.38%를 차지한다고 보고합니다.
여기서도 일반적인 문제는 웹사이트 소유자가 알려진 보안 문제가 있는 오래된 버전을 사용한다는 것입니다. Sucuri는 또한 손상된 모든 웹사이트 중 36%가 수정되는 동안 적어도 하나의 취약한 플러그인 또는 테마가 존재했다고 보고했습니다.
대부분의 해킹에 대한 인기 확장 계정
문제를 일으키는 플러그인과 테마의 분포도 흥미롭습니다. Sucuri에 따르면 가장 일반적으로 감지되는 취약한 구성 요소에는 오래된 버전의 Contact Form 7(27.44%), Freemius Library(20.85%) 및 WooCommerce(14.51%)가 포함되었습니다. 다른 몇 가지가 있습니다.
그렇다면 이러한 플러그인이 보안 측면에서 그렇게 조잡한 작업을 수행하고 있다면 왜 여전히 이러한 플러그인이 존재하도록 허용합니까? 여기서는 일반적으로 WordPress와 동일한 내용이 적용됩니다. 이러한 플러그인이 반드시 더 안전하지 않다는 것은 아니며 단순히 인기가 매우 높습니다. Contact Form 7 하나만으로 500만 개가 넘는 설치가 이루어졌습니다.
또한 이러한 개발자는 실제로 보안 문제가 알려지면 이를 해결하는 데 능숙합니다. 문제는 사용자가 적용하지 않는 경우에만 발생합니다. 또한 플러그인의 단점을 해결하기 위한 노력도 활발히 진행되고 있습니다. 최근 작업 중인 테마 확인 플러그인과 유사한 플러그인 검사기에 대한 제안이 있었습니다.
그러면 우리는 그것으로부터 무엇을 배울 수 있습니까? 나머지 WordPress 사이트와 마찬가지로 테마와 플러그인을 최신 상태로 유지하세요.
로그인 취약점
로그인 자격 증명은 성공적인 해킹을 경험하는 웹사이트의 또 다른 요소입니다. 취약한 사용자 이름과 비밀번호는 심각한 보안 위험을 초래합니다. 무차별 대입 공격과 크리덴셜 스터핑을 통해 쉽게 손상될 수 있습니다.
그런 일이 발생하면 사이트가 얼마나 최신 상태인지, 플러그인과 테마의 보안이 얼마나 중요한지는 중요하지 않습니다. 누군가 귀하의 사이트에 대한 전체 액세스 권한을 갖게 되면 그들이 할 수 있는 작업에는 거의 제한이 없습니다.
예를 들어, Sucuri는 감염된 웹사이트의 32.69%에서 악성 WordPress 관리자 사용자를 발견했습니다. 재미를 위해 그들이 가장 많이 사용한 사용자 이름과 이메일은 다음과 같습니다.
반면에 이는 사용자가 가장 직접적으로 제어할 수 있는 부분 중 하나입니다. 예를 들어 WordPress에는 자동으로 안전한 비밀번호 생성기가 제공됩니다. 그것을 활용해 보는 것은 어떨까요?
그러나 호스팅 및 FTP 자격 증명과 같이 웹사이트와 관련된 다른 계정에 대해서도 동일한 작업을 수행해야 합니다. 또한 로그인 시도 제한, 이중 인증 등 로그인 페이지를 보호하기 위한 추가 조치도 있습니다.
호스팅 보안 통계
호스팅 환경과 여기에 존재하는 기술은 보안, 특히 WordPress가 실행되는 PHP 버전에서도 중요한 역할을 합니다. 예를 들어, PHP 7은 이전 버전인 PHP 5보다 더 나은 보안 기능을 도입했습니다.
또한 PHP 개발자는 이전 버전에 대해 매우 엄격한 종료 정책을 가지고 있습니다. 이 글을 쓰는 시점에서 8.0 이전 버전은 더 이상 지원이나 보안 수정 사항을 받을 수 없으므로 장기적으로 사용하지 않는 것이 좋습니다.
여기서 WordPress는 그다지 좋아 보이지 않습니다. 대다수의 WordPress 웹사이트는 최소 PHP 7.0에서 실행되고 거의 절반은 7.4에서 실행되지만 4분의 1 남짓만이 적극적으로 지원되는 버전을 사용합니다.
심지어 몇 년 동안 아무런 지원도 받지 못한 PHP 5.x 버전에서 여전히 실행되는 경우도 6% 정도 있습니다. 따라서 아직 업데이트하지 않았다면 PHP 버전을 업데이트하세요.
간단히 말해서 WordPress 보안 통계
100% 안전한 CMS는 없으며 실제로 웹에 연결된 어떤 것도 없습니다. 그러나 다른 곳에서 들은 내용에도 불구하고 WordPress의 보안 통계는 전반적으로 매우 좋습니다. 예, 해결해야 할 문제가 있지만 대부분은 적극적으로 해결되고 있습니다.
수치를 더욱 향상시키려면 다음 모범 사례를 따르면 됩니다.
- WordPress와 해당 플러그인 및 테마를 최신 상태로 유지하세요.
- 평판이 좋은 소스의 확장 프로그램만 사용하세요
- 웹사이트와 관련된 모든 것에 강력한 비밀번호와 자격 증명을 사용하세요.
- 방화벽 및/또는 CDN 사용을 고려하세요.
- 로그인 시도 제한
- SSL 인증서를 사용하여 대시보드를 포함한 웹사이트의 트래픽을 암호화하세요.
- PHP 버전을 최신 상태로 유지할 수 있는 호스트를 선택하세요.
이를 따르면 최소한 귀하의 WordPress 사이트에 대해 긍정적인 보안 통계가 있어야 합니다.
WordPress 보안 상태에 대한 어떤 통계가 가장 흥미롭다고 생각하시나요? 아래 댓글로 알려주세요!