Statystyki wskazują na największe źródło luk w WordPressie

Opublikowany: 2020-10-08

Wszyscy wiemy, że co roku wiele witryn WordPress pada ofiarą hakerów. Czy to dlatego, że WordPress jest niezabezpieczonym systemem? Czy jest to globalny problem WordPressa, czy też wynika z działań tych webmasterów? Jak i dlaczego tak się dzieje?

Niezależnie od tego, czy prowadzisz blog osobisty, witrynę biznesową, czy witrynę eCommerce na WordPress, bezpieczeństwo Twojej witryny powinno być priorytetem. Może być wiele powodów, z powodu których bezpieczeństwo Twojej witryny jest zagrożone. Najczęstsze przyczyny to słabe hasła, błędy użytkowników, nieaktualne oprogramowanie i brakujące aktualizacje zabezpieczeń.

W tym artykule korzystamy z najnowszych statystyk z bazy danych luk WPScan, aby wskazać, które z komponentów WordPressa są najbardziej podatne na ataki, a także położyć nacisk na znaczenie posiadania aktualnego oprogramowania i instalowania niezbędnych poprawek bezpieczeństwa.

Możesz również znaleźć kilka interesujących statystyk i faktów na temat luk w WordPressie, a także kilka rekomendacji. Zanurzmy się od razu.

Spis treści

  • Co to jest baza danych luk WPScan?
  • Przegląd luk w WordPressie, wtyczkach i motywach
    • Dlaczego istnieje tak wiele podstawowych luk w WordPressie?
    • Rodzaje luk w rdzeniu WordPressa, wtyczkach i motywach
    • Statystyki podstawowych luk w WordPressie
    • Top 10 najbardziej wrażliwych wtyczek WordPress
    • Top 10 najbardziej wrażliwych motywów WordPress
  • Co mówią nam te luki w WordPressie?
  • Jak zapewnić bezpieczeństwo WordPress (najlepsze praktyki bezpieczeństwa)

Co to jest baza danych luk WPScan?

Zanim zagłębimy się w statystyki, wyjaśnijmy, skąd wzięliśmy te liczby. Wszystkie dane są pobierane z bazy danych luk WPScan, dostępnej online wersji plików danych WPScan.

WPScan to zautomatyzowany skaner bezpieczeństwa czarnej skrzynki WordPress o otwartym kodzie źródłowym. Ten skaner wykorzystuje te dane do wykrywania znanych luk w rdzeniu WordPress, wtyczkach i motywach w witrynach WordPress.

Do tej pory baza danych luk WPScan zawiera 21 755 luk, z których 4154 to unikalne luki.

Przegląd luk w WordPressie, wtyczkach i motywach

Według bazy danych WPScan Vulnerability Database około 80% znanych luk w zabezpieczeniach, które zarejestrowali, znajduje się w głównym oprogramowaniu WordPress. Ale oto kicker – wersje z największą liczbą luk są już w WordPress 3.X.

Jak dotąd w bazie danych luk WPScan znajduje się 17 467 luk w głównym oprogramowaniu WordPress. Następnie mamy 3846 (17%) luk w zabezpieczeniach wtyczek WordPress i 442 (3%) luk w motywach WordPress.

Luki w głównym oprogramowaniu WordPress w bazie danych luk WPScan.

Dlaczego istnieje tak wiele podstawowych luk w WordPressie?

Liczba luk w rdzeniu WordPressa jest zawyżona w bazie danych luk z powodu wielu wersji WordPressa. Poniżej znajduje się wyjaśnienie, dlaczego tak się dzieje;

W komponencie WordPress w wersji 5.4.2 wykryto lukę w zabezpieczeniach cross-site scripting. Ten komponent jest używany w WordPressie od wersji 3.7. Dlatego też wszystkie poprzednie wydane wersje WordPressa są również podatne na ataki.

Dlatego w bazie podatności WPScan znajdzie się jedna unikalna podatność i 256 podatności!

Tak więc rdzeń WordPressa jako taki nie jest niepewny. Bardzo ważne jest, aby podkreślić, że rdzeń WordPressa przeszedł bardzo długą drogę i jest znacznie lepszym i bezpieczniejszym oprogramowaniem niż kiedykolwiek.

Rodzaje luk w rdzeniu WordPressa, wtyczkach i motywach

Najpopularniejsze typy podatności w rdzeniu WordPress, wtyczkach i motywach to Cross-site Scripting i SQL Injection.

Nie jest to zaskakujące, biorąc pod uwagę, że te 2 luki zostały wymienione na liście 10 najczęstszych problemów związanych z bezpieczeństwem sieciowym OWASP od samego początku.

Rodzaje podatności

Statystyki podstawowych luk w WordPressie

Poniższy wykres przedstawia 10 najbardziej narażonych na ataki podstawowych wersji WordPressa, z wersjami 3.7.1 i 3.8.1 na czele, z 92 lukami każda. Na drugim miejscu, z 91 lukami, znajduje się WordPress w wersji 3.9.

Top 10 głównych luk w WordPressie

Jednak od tego czasu WordPress stał się zdecydowanie bezpieczniejszy. Rzućmy okiem na liczbę luk w ostatnich 5 wersjach WordPressa. Jak widać różnica jest spora.

Przegląd podatności w ostatnich wersjach WordPressa

Top 10 najbardziej wrażliwych wtyczek WordPress

Oto kilka faktów na temat 10 najbardziej podatnych wtyczek WordPress:

NextGEN Gallery, NinjaForms i WooCommerce przodują w zestawieniu z 22 lukami każda.

Top 10 najbardziej wrażliwych wtyczek

Byliśmy zaskoczeni, widząc All In One WP Security & Firewall, wtyczkę bezpieczeństwa WordPress w 10 najbardziej wrażliwych wtyczkach WordPress. Nie twierdzę, że takie wtyczki są kuloodporne. Chociaż spodziewałbym się, że wtyczka napisana przez specjalistów ds. bezpieczeństwa będzie miała mniej luk w zabezpieczeniach, a przynajmniej nie znajdzie się w pierwszej dziesiątce.

Top 10 najbardziej wrażliwych motywów WordPress

Poniższy wykres przedstawia 10 najbardziej wrażliwych motywów WordPress. Najwyższy ma pod swoją nazwą tylko 5 luk.

Top 10 najbardziej wrażliwych motywów w WordPress

Motywy mają zwykle znacznie mniej luk w zabezpieczeniach niż wtyczki, ponieważ mają znacznie mniej funkcjonalności. Na przykład, podczas gdy większość wtyczek obsługuje dane, wprowadzane przez użytkownika i manipuluje danymi użytkownika, motywy najczęściej zmieniają wygląd witryn WordPress.

Co mówią nam te luki w WordPressie?

Ludzie kochają WordPressa ze względu na ogromną liczbę dostępnych wtyczek i motywów. W chwili pisania tego tekstu w repozytorium WordPressa znajduje się ponad 57 000 wtyczek i ponad 7 000 motywów oraz tysiące dodatkowych wtyczek premium rozsianych po całej sieci.

Chociaż wszystkie te opcje doskonale nadają się do ulepszania witryny, zawsze powinieneś przeprowadzić trochę badań przed zainstalowaniem wtyczki lub motywu na swojej witrynie WordPress. Chociaż większość programistów WordPressa wykonuje dobrą robotę polegającą na przestrzeganiu standardów kodu i łataniu zgłoszonych problemów z bezpieczeństwem, gdy tylko zostaną one ujawnione, nadal istnieje kilka potencjalnych problemów:

  • Wtyczka lub motyw nie są już utrzymywane,
  • Deweloperzy dużo czasu poświęcają na wydanie poprawki bezpieczeństwa lub nie odpowiadają,
  • Wtyczka lub motyw ma jednak lukę, ponieważ nie poświęca się jej zbyt wiele uwagi, więc luka pozostaje niewykryta.

Zobacz, jak wybrać najlepszą wtyczkę WordPress dla swoich wymagań, aby uzyskać więcej informacji na ten temat i jak określić, czy wtyczka jest dobrym wyborem dla Twojej witryny WordPress.

Więc co jest na wynos?

Krótko mówiąc, aktualizuj całe swoje oprogramowanie!

WordPress jest jednym z najpopularniejszych systemów CMS na świecie, a jeśli zastosujesz się do najlepszych praktyk bezpieczeństwa i będziesz je aktualizować, jest bardzo mało prawdopodobne, że Twoja witryna napotka jakiekolwiek problemy.

Czy te statystyki dotyczące luk w WordPressie są dokładne?

Statystyki te są oparte na informacjach przechowywanych w bazie danych luk w zabezpieczeniach WPScan. Chociaż jest często aktualizowany, w żadnym wypadku nie jest kompletny.

Istnieje wiele innych podatnych na ataki wtyczek i motywów WordPress, które nie są tutaj wymienione. Daje nam to jednak dobry przegląd stanu luk w WordPressie.

Prześlij znane luki w WordPressie

Zespół WPScan zachęca wszystkich, którzy wiedzą o podatnościach rdzenia WordPressa, wtyczek lub motywów, aby przesłali im szczegółowe informacje.

Przed zgłoszeniem nowej luki przeszukaj bazę danych, aby upewnić się, że problem nie został wcześniej zgłoszony. Zapewni to nam jedno scentralizowane i niezawodne źródło informacji.

Jak zapewnić bezpieczeństwo WordPress (najlepsze praktyki bezpieczeństwa)

Teraz, gdy omówiliśmy wszystkie potencjalne i znane luki w zabezpieczeniach, przyjrzyjmy się różnym sposobom zabezpieczenia Twojej witryny.

Pierwszą rzeczą jest regularne aktualizowanie wersji WordPressa. Zdecydowanie powinieneś rozwinąć praktykę aktualizacji swojej wersji WordPressa, a także nie zapomnij zaktualizować wtyczek i motywów.

Oto kilka dodatkowych czynności, które możesz wykonać, aby zabezpieczyć swoją witrynę WordPress:

  • Unikaj używania popularnych haseł

Gdy masz silne hasło, możesz uniknąć lub przynajmniej opóźnić każdą próbę włamania.

  • Skonfiguruj logowanie do uwierzytelniania dwuskładnikowego

Każdy, kto chce zalogować się do Twojej witryny WordPress, musiałby wykonać jeszcze jeden krok, zanim uzyska dostęp do swojego konta.

  • Nie używaj pustych wtyczek i motywów

Kusi prawie wszystkich, jednak te bezpłatne kopie wtyczek i motywów premium są najczęściej ładowane złośliwym oprogramowaniem. Wesprzyj twórców wtyczek, z których korzystasz, kupując edycję premium. Pomaga dalej rozwijać produkt, dodawać nowe funkcje i zapewniać jego bezpieczeństwo.

  • Użyj wtyczek bezpieczeństwa WordPress

Obecnie istnieje ogromna różnorodność wtyczek zabezpieczających, które są tworzone w celu ochrony Twojej witryny przed różnymi atakami. Najlepsze z nich są regularnie aktualizowane, dzięki czemu są w stanie wykryć każdą próbę włamania i każdy dodatek do Twojego kodu. Opracowujemy szereg wtyczek do zabezpieczeń i zarządzania witryną WordPress. Sprawdź je!

Zapakować

Zabezpieczanie Twojej witryny jest bardzo ważne. Posiadanie jasnego obrazu zagrożeń i narzędzi, których możesz użyć do radzenia sobie z potencjalnymi atakami, ma kluczowe znaczenie. Twoim priorytetem powinno być posiadanie i utrzymywanie bezpiecznej strony internetowej.

Ze względu na swoją popularność WordPress jest dużym celem hakerów. Dlatego musisz zrobić wszystko, aby zapewnić bezpieczeństwo swojej witryny. Bezpieczna strona z pewnością wzbudzi zaufanie Twoich potencjalnych klientów, a tym samym pomoże w rozwoju Twojego biznesu.

Chroń swoją witrynę i bądź bezpieczny!