Statystyki bezpieczeństwa WordPress: jak bezpieczny jest naprawdę WordPress?

Czy WordPress jest naprawdę bezpieczny? To pytanie prawdopodobnie pojawia się w głowach wielu nowych użytkowników, zwłaszcza gdy słyszą, że jest to projekt typu open source. Czy są więc jakieś statystyki dotyczące bezpieczeństwa WordPressa, które mogą udzielić odpowiedzi?

W rzeczywistości są i w tym poście staraliśmy się zebrać jak najwięcej znaczących liczb na ten temat. Poniżej przeanalizujemy raporty i statystyki branżowe dotyczące bezpieczeństwa rdzenia WordPress, motywów i wtyczek, danych logowania oraz środowisk hostingowych.

Na koniec chcemy, abyś nie tylko miał dobre pojęcie o stanie bezpieczeństwa WordPressa, ale także dokładnie wiedział, gdzie leżą zagrożenia, abyś mógł im zaradzić.

Statystycznie WordPress jest najpopularniejszym celem hakerów

Pierwszy punkt danych, który ma znaczenie, gdy mówimy o bezpieczeństwie WordPressa, to 43%. Według W3Techs jest to światowy udział stron internetowych działających na WordPressie. Uwaga, nie chodzi tu o udział w rynku systemów zarządzania treścią (który jest wyższy), ale o wszystkich stron internetowych w Internecie.

To całkiem duża liczba. I ma to znaczenie, ponieważ chociaż jako fani WordPressa jest to coś, z czego można być dumnym, ma to również wadę – ekspozycję.

Sama liczba stron internetowych działających na WordPressie oznacza, że ​​platforma jest głównym celem hakerów. W rzeczywistości, według raportu Sucuri z badania zagrożeń z 2022 r., witryny oparte na WordPressie stanowiły 96,2% wszystkich zainfekowanych witryn.

Naprawdę nie brzmi to bezpiecznie, prawda?

Kiedy widzisz takie statystyki osobno, twoją pierwszą myślą może być to, że WordPress rzeczywiście ma problem z bezpieczeństwem. Z jakiego innego powodu miałby odpowiadać za tak ogromną większość udanych hacków?

Dlatego zaczęliśmy od pierwszego numeru. WordPress jest po prostu znacznie bardziej widocznym i lukratywnym celem. Wybranie systemu, który pozwala na atakowanie dosłownie setek milionów stron internetowych, zamiast takiego, który ma znacznie mniejszą bazę użytkowników, jest znacznie bardziej ekonomiczne i wydajne. Najwyraźniej tak właśnie myślą hakerzy.

Zła wiadomość jest taka, że ​​często im się to udaje. Każdego roku setki tysięcy witryn opartych na WordPressie zostaje skutecznie zhakowanych. Dobra wiadomość jest taka, jak zobaczysz poniżej, że nie dzieje się tak dlatego, że WordPress jest z natury niebezpieczny. W rzeczywistości wielu udanych hacków można całkowicie uniknąć. Trzeba tylko wiedzieć, jak się chronić.

Statystyki głównych luk w zabezpieczeniach WordPress

W poszukiwaniu odpowiedzi na pytanie, czy WordPress jest bezpieczny, czy nie, zacznijmy od statystyk dotyczących bezpieczeństwa podstawowego oprogramowania WordPress.

Większość zhakowanych stron internetowych nie została zaktualizowana

Według raportu Sucuri większość zhakowanych witryn WordPress jest nieaktualna. W 2022 roku ponad połowa osób zainfekowanych złośliwym oprogramowaniem nie korzystała z najnowszej wersji WordPressa.

Nie jest to niespodzianką. Niektóre starsze wersje CMS-a mają dobrze znane problemy z bezpieczeństwem, które zostały publicznie ujawnione. Jeśli więc nadal będziesz prowadzić swoją witrynę na jednym z nich, po prostu zapraszasz kogoś, aby z tego skorzystał.

W rzeczywistości wszystkie edycje WordPressa, w których występuje najwięcej problemów związanych z bezpieczeństwem, są aż do wersji 4.0. Od tego czasu liczba luk w zabezpieczeniach stale spada.

Odzwierciedla to również raport Sucuri. W porównaniu z wcześniejszymi liczbami spadł odsetek witryn WordPress, które zostały zhakowane z powodu braku aktualizacji.

W rzeczywistości WordPress miał najniższy odsetek infekcji spowodowanych nieaktualnymi wersjami spośród wszystkich CMS-ów, z którymi się zetknął.

Dzieje się tak już dwa lata z rzędu i w tym czasie udział WordPressa nieznacznie spadł. Dla porównania mamy rok 2021.

To jest problem użytkownika, a nie problem WordPressa

Jaki jest zatem stan użytkowników WordPressa, którzy aktualizują swoje strony internetowe? Cóż, wielu tego nie robi. Oto wersje WordPressa działające na dzikich stronach internetowych śledzone przez WordPress.org.

Jak widać, tylko około 60%% korzysta z najnowszej wersji. Jednak dobra wiadomość jest taka, że ​​przynajmniej zdecydowana większość korzysta z WordPressa w wersji 4.0 lub nowszej, gdzie sytuacja podatności na zagrożenia znacznie się poprawia. Ponadto trzy czwarte zaktualizowało się do najnowszej wersji głównej, co stanowi ulepszenie w porównaniu z poprzednią wersją. W 2016 roku udział ten wynosił zaledwie około 50%.

Jedną z przyczyn są prawdopodobnie automatyczne aktualizacje, które zostały wprowadzone w wersji 5.6. Nie musisz już polegać na tym, że użytkownicy ręcznie klikają przycisk Aktualizuj . Zamiast tego strony internetowe mogą automatycznie instalować nowe wersje WordPressa, co najwyraźniej przyczyniło się do tego pozytywnego trendu.

Infrastruktura bezpieczeństwa WordPress działa

Pomimo niechęci użytkowników do aktualizacji swoich stron internetowych, system bezpieczeństwa rdzenia WordPressa radzi sobie bardzo dobrze. Zespół ds. bezpieczeństwa WordPressa szybko wyszukuje i łata problemy w każdej nowej wersji WordPressa.

W 2023 r. wydaliśmy już trzy aktualizacje zabezpieczeń, które załatały 20–30 potencjalnych luk w zabezpieczeniach. Sam WordPress 6.0.3 zawierał 16 poprawek bezpieczeństwa. W 2022 r. w ramach projektu wydano także cztery aktualizacje zabezpieczeń, które naprawiły łącznie 26 błędów bezpieczeństwa.

Co więcej, ta czujność rozciąga się na inne części ekosystemu. Elementor napotkał krytyczną lukę, która została szybko załatana, Ninja Forms otrzymało wymuszoną aktualizację z WordPress.org, a BackupBuddy również załatał poważną lukę w zabezpieczeniach i udostępnił zaktualizowaną wersję swoim użytkownikom.

Tak więc, chociaż WordPress ma problemy z bezpieczeństwem, tak jak każde inne oprogramowanie, ma zabezpieczenia, które szybko na nie reagują. Jedną z największych przeszkód, jaka pozostaje, jest nakłonienie użytkowników do zastosowania rozwiązań.

Statystyki dotyczące motywu WordPress i bezpieczeństwa wtyczek

Jako najpopularniejszy CMS, WordPress posiada ogromną liczbę rozszerzeń, wiele z nich jest darmowych. W chwili pisania tego tekstu w samym katalogu WordPress znajduje się prawie 60 000 wtyczek i ponad 11 000 motywów.

To nawet nie liczy tysięcy innych wtyczek dostępnych w innych częściach sieci, często jako rozwiązania premium. To właśnie jest fajne w WordPressie. Niezależnie od tego, czego szukasz, najprawdopodobniej istnieje już rozwiązanie tego problemu.

Jednocześnie każde rozszerzenie, które zainstalujesz na swojej stronie, jest potencjalnym punktem wejścia dla atakującego. Motywy i wtyczki są w gestii poszczególnych programistów. Nie są testowane tak rygorystycznie jak rdzeń WordPressa i dlatego są bardziej prawdopodobne, że zawierają luki w zabezpieczeniach. Ponadto czasami programiści po prostu przestają wspierać swoją pracę i staje się ona przestarzała.

Nic więc dziwnego, że odgrywają one dużą rolę w statystykach bezpieczeństwa WordPressa, zwłaszcza wtyczki. W rzeczywistości, według WPScan.com, zawierają one zdecydowaną większość luk w zabezpieczeniach WordPress.

Patchstack osiągnął podobne liczby.

Najwyraźniej szczególnie darmowe wtyczki stanowią problem. Sucuri podaje, że motywy i wtyczki premium stanowią 8,62% wszystkich luk w zabezpieczeniach stron trzecich, podczas gdy bezpłatne rozszerzenia stanowią 91,38%.

Tutaj również częstym problemem jest to, że właściciele witryn korzystają z przestarzałych wersji, w których występują znane problemy z bezpieczeństwem. Sucuri podaje dalej, że w 36% wszystkich zaatakowanych witryn internetowych w trakcie naprawy znajdowała się co najmniej jedna podatna na ataki wtyczka lub motyw.

Popularne rozszerzenia odpowiadają za większość hacków

Interesująca jest również dystrybucja wtyczek i motywów powodujących problemy. Według Sucuri najczęściej wykrywanymi podatnymi komponentami były nieaktualne wersje Contact Form 7 (27,44%), Freemius Library (20,85%) i WooCommerce (14,51%). Jest jeszcze kilka innych.

Dlaczego więc nadal pozwalamy na istnienie tych wtyczek, skoro wykonują tak tandetną robotę w zakresie bezpieczeństwa? Tutaj obowiązuje to samo, co ogólnie w przypadku WordPressa. Niekoniecznie te wtyczki są mniej bezpieczne, są po prostu bardzo popularne. Sam formularz kontaktowy 7 ma ponad pięć milionów instalacji.

Co więcej, ci programiści naprawdę wykonują dobrą robotę, naprawiając problemy związane z bezpieczeństwem, gdy zostaną ujawnione. Problem występuje tylko wtedy, gdy użytkownicy ich nie stosują. Ponadto trwają intensywne prace nad rozwiązaniem niedociągnięć wtyczek. Niedawno pojawiła się propozycja narzędzia do sprawdzania wtyczek, podobnego do wtyczki sprawdzającej motyw, nad którą pracujemy.

Czego więc się z tego uczymy? Aktualizuj swoje motywy i wtyczki, tak jak resztę witryny WordPress.

Luki w zabezpieczeniach logowania

Dane logowania to kolejny czynnik w witrynach, które przeszły pomyślny atak hakerski. Słabe nazwy użytkowników i hasła stanowią poważne zagrożenie bezpieczeństwa. Można je łatwo złamać poprzez ataki siłowe i upychanie poświadczeń.

Kiedy dzieje się coś takiego, tak naprawdę nie ma znaczenia, jak aktualna jest Twoja witryna ani bezpieczeństwo wtyczek i motywów. Gdy ktoś uzyska pełny dostęp do Twojej witryny, może mieć kilka ograniczeń.

Przykładowo Sucuri znalazł złośliwych administratorów WordPressa w 32,69% zainfekowanych stron internetowych. Dla ciekawskich, oto nazwy użytkowników i adresy e-mail, których najczęściej używali.

Z drugiej strony jest to jedna z części znajdujących się pod bezpośrednią kontrolą użytkowników. Na przykład WordPress jest wyposażony w automatyczny generator bezpiecznych haseł. Dlaczego z tego nie skorzystać?

Musisz jednak zrobić to samo w przypadku innych kont powiązanych z Twoją witryną, takich jak hosting i dane uwierzytelniające FTP. Ponadto istnieją dodatkowe środki ochrony strony logowania, takie jak ograniczenie prób logowania i uwierzytelnianie dwuskładnikowe.

Statystyki bezpieczeństwa hostingu

Środowisko hostingowe i obecne w nim technologie również odgrywają rolę w bezpieczeństwie, szczególnie wersja PHP, na której działa WordPress. Na przykład PHP 7 wprowadziło lepsze funkcje bezpieczeństwa niż jego poprzednik PHP 5.

Ponadto programiści PHP mają dość rygorystyczną politykę wycofywania starszych wersji. W chwili pisania tego tekstu nic starszego niż 8.0 nie jest już objęte wsparciem ani poprawkami bezpieczeństwa, dlatego lepiej unikać go na dłuższą metę.

Tutaj WordPress nie wygląda tak świetnie. Podczas gdy zdecydowana większość witryn WordPress działa na co najmniej PHP 7.0, a prawie połowa na 7.4, tylko nieco ponad jedna czwarta korzysta z aktywnie obsługiwanych wersji.

Nawet około 6% z nich nadal działa na wersjach PHP 5.x, które od lat nie otrzymały żadnego wsparcia. Jeśli jeszcze tego nie zrobiłeś, zaktualizuj swoją wersję PHP.

Statystyki bezpieczeństwa WordPressa w pigułce

Żaden CMS nie jest w 100% bezpieczny, tak naprawdę nic, co jest podłączone do sieci, nie jest bezpieczne. Jednak pomimo tego, co możesz usłyszeć gdzie indziej, statystyki bezpieczeństwa WordPressa są ogólnie bardzo dobre. Tak, istnieją problemy wymagające rozwiązania, ale większość z nich jest aktywnie rozwiązywana.

Jeśli chcesz jeszcze bardziej poprawić te liczby, możesz to zrobić, postępując zgodnie z tymi najlepszymi praktykami:

• Aktualizuj WordPress, jego wtyczki i motywy
• Używaj tylko rozszerzeń z renomowanych źródeł
• Używaj silnych haseł i danych uwierzytelniających do wszystkiego, co jest związane z Twoją witryną
• Rozważ użycie zapory sieciowej i/lub CDN
• Ogranicz próby logowania
• Użyj certyfikatu SSL, aby zaszyfrować ruch na swojej stronie internetowej, w tym na pulpicie nawigacyjnym
• Wybierz hosta, który pozwoli Ci na bieżąco aktualizować wersję PHP

Jeśli zastosujesz się do nich, powinieneś mieć pozytywne statystyki bezpieczeństwa przynajmniej dla własnej witryny WordPress.

Jakie statystyki dotyczące stanu bezpieczeństwa WordPressa uważasz za najciekawsze? Daj nam znać w komentarzach poniżej!