Statistici de securitate WordPress: Cât de sigur este cu adevărat WordPress?

Este WordPress într-adevăr sigur? Aceasta este probabil o întrebare în mintea multor utilizatori noi, mai ales când aud că este un proiect open source. Deci, există statistici despre securitatea WordPress care pot oferi un răspuns?

De fapt, există și, în această postare, am încercat să compilam cât mai multe numere semnificative pe acest subiect. Mai jos, vom examina rapoartele și statisticile din industrie cu privire la securitatea nucleului WordPress, teme și pluginuri, informații de conectare și medii de găzduire.

În cele din urmă, dorim să nu numai că aveți o idee bună despre situația de siguranță a WordPress, ci și să știți exact unde se află riscurile, astfel încât să le puteți aborda.

Statistic, WordPress este cea mai populară țintă pentru hackeri

Primul punct de date care contează când vorbim despre securitatea WordPress este 43%. Potrivit W3Techs, aceasta este cota la nivel mondial a site-urilor web care rulează pe WordPress. Rețineți, nu este cota sa de piață în sistemele de management al conținutului (care este mai mare), ci în totalul site-urilor web de pe Internet.

Acesta este un număr destul de mare. Și contează pentru că, deși, în calitate de fani WordPress, acest lucru este ceva de care să fim mândri, acesta are și un dezavantaj - expunerea.

Numărul mare de site-uri care rulează pe WordPress înseamnă că platforma este o țintă principală pentru hackeri. De fapt, în raportul de cercetare a amenințărilor Sucuri din 2022, site-urile WordPress au reprezentat 96,2% din toate site-urile web infectate.

Nu sună cu adevărat sigur, nu-i așa?

Când vezi statistici de acest fel izolate, primul tău gând ar putea fi că WordPress are într-adevăr o problemă de securitate. De ce altfel ar reprezenta o astfel de mare majoritate a hackurilor de succes?

De aceea am început cu primul număr. WordPress este pur și simplu o țintă mult mai proeminentă și mai profitabilă. Este mult mai economic și eficient să alegeți un sistem care vă permite să încercați și să atacați literalmente sute de milioane de site-uri web, mai degrabă decât unul cu o bază de utilizatori mult mai mică. Se pare că asta cred și hackerii.

Vestea proastă este că adesea reușesc. În fiecare an, sute de mii de site-uri web WordPress sunt sparte cu succes. Vestea bună este că, după cum veți vedea mai jos, asta nu se datorează faptului că WordPress este în mod inerent nesigur. De fapt, multe dintre aceste hack-uri de succes sunt complet evitabile. Trebuie doar să știi cum să te protejezi.

Statistici de vulnerabilitate de bază WordPress

În căutarea de a răspunde dacă WordPress este sigur sau nu, să începem cu statistici despre securitatea software-ului de bază WordPress.

Cele mai multe site-uri piratate nu au fost actualizate

Potrivit raportului Sucuri, majoritatea site-urilor WordPress piratate sunt depășite. În 2022, mai mult de jumătate dintre cei infectați cu malware nu rulau pe cea mai recentă versiune de WordPress.

Nu este o surpriză. Unele versiuni mai vechi ale CMS au probleme de securitate bine-cunoscute care au fost dezvăluite public. Deci, dacă continuați să vă rulați site-ul pe unul dintre ele, doar invitați pe cineva să profite de asta.

De fapt, edițiile WordPress cu cele mai multe probleme de securitate sunt toate până la versiunea 4.0. De atunci, numărul vulnerabilităților a scăzut constant.

Raportul Sucuri reflectă și asta. În comparație cu cifrele anterioare, ponderea site-urilor WordPress piratate din cauza neactualizării a scăzut.

De fapt, WordPress a avut cea mai mică pondere de infecții din cauza versiunilor învechite dintre toate CMS-urile pe care le-au întâlnit.

Acesta este cazul timp de doi ani la rând, iar cota WordPress a scăzut ușor în acest timp. Iată 2021 pentru comparație.

Aceasta este o problemă cu utilizatorul, nu o problemă cu WordPress

Deci, cum este starea utilizatorilor WordPress care își mențin site-urile web actualizate? Ei bine, mulți nu. Iată versiunile WordPress care rulează pe site-uri web în sălbăticie, după cum sunt urmărite de WordPress.org.

După cum puteți vedea, doar aproximativ 60%% sunt pe cea mai recentă versiune. Cu toate acestea, vestea bună este că cel puțin marea majoritate este pe WordPress 4.0 sau o versiune ulterioară, unde situația de vulnerabilitate este mult mai bună. În plus, trei sferturi au fost actualizate la cea mai recentă versiune majoră, ceea ce reprezintă o îmbunătățire față de anterior. În 2016, această pondere era de doar aproximativ 50%.

Unul dintre motivele pentru care este probabil actualizările automate care au fost introduse în versiunea 5.6. Nu mai trebuie să vă bazați pe utilizatori pentru a face clic manual pe butonul Actualizare . În schimb, site-urile web pot instala automat noi versiuni WordPress, ceea ce se pare că a contribuit la această tendință pozitivă.

Infrastructura de securitate WordPress funcționează

În ciuda reticenței utilizatorilor de a-și actualiza site-urile web, sistemul de siguranță pentru nucleul WordPress își face treaba foarte bine. Echipa de securitate WordPress găsește și corectează rapid probleme în fiecare nouă lansare WordPress.

În 2023, aveam deja trei versiuni de securitate care corectau 20-30 de vulnerabilități potențiale. Numai WordPress 6.0.3 conținea 16 remedieri de securitate. Au existat, de asemenea, patru lansări de securitate în proiect în 2022, care au abordat 26 de erori de securitate în total.

În plus, această vigilență se extinde și în alte părți ale ecosistemului. Elementor a întâmpinat o vulnerabilitate critică care a fost corectată rapid, Ninja Forms a primit o actualizare forțată de la WordPress.org, iar BackupBuddy a corectat și o defecțiune de securitate de mare severitate și a transmis versiunea actualizată utilizatorilor săi.

Deci, în timp ce WordPress are probleme de securitate la fel ca orice alt software, are sisteme de siguranță care răspund rapid la acestea. Unul dintre cele mai mari obstacole care rămân este ca utilizatorii să aplice soluțiile.

Statistici despre tema WordPress și securitatea pluginurilor

Fiind cel mai popular CMS, WordPress vine cu un număr mare de extensii, multe dintre ele gratuite. La momentul scrierii acestui articol, există aproape 60.000 de plugin-uri numai în directorul WordPress, precum și peste 11.000 de teme.

Asta nici măcar nu numără miile de alte plugin-uri care sunt disponibile în alte părți ale web, adesea ca soluții premium. Acesta este lucrul tare despre WordPress, orice ai căuta, cel mai probabil există deja o soluție pentru asta.

În același timp, fiecare extensie pe care o instalați pe site-ul dvs. este un potențial punct de intrare pentru un atacator. Temele și pluginurile sunt responsabilitatea dezvoltatorilor individuali. Ele nu sunt testate la fel de riguros ca nucleul WordPress și, prin urmare, este mai probabil să conțină defecte de securitate. În plus, uneori, dezvoltatorii pur și simplu încetează să-și susțină munca și devine depășită.

Prin urmare, nu este o surpriză că joacă un rol important în statisticile de securitate WordPress, în special în pluginuri. De fapt, potrivit WPScan.com, acestea conțin marea majoritate a vulnerabilităților WordPress.

Patchstack a ajuns la numere similare.

Aparent, în special pluginurile gratuite sunt o problemă. Sucuri raportează că temele și pluginurile premium reprezintă 8,62% din toate vulnerabilitățile terțelor părți, în timp ce extensiile gratuite reprezintă 91,38%.

Și aici, o problemă comună este că proprietarii de site-uri web folosesc versiuni învechite cu probleme de securitate cunoscute. Sucuri mai raportează că 36% din toate site-urile web compromise aveau cel puțin un plugin sau o temă vulnerabilă prezentă în timp ce erau remediate.

Contul de extensii populare pentru majoritatea hackurilor

Este interesantă și distribuția a căror pluginuri și teme cauzează probleme. Potrivit Sucuri, cele mai frecvent detectate componente vulnerabile au inclus versiuni învechite ale Formularului de contact 7 (27,44%), Biblioteca Freemius (20,85%) și WooCommerce (14,51%). Mai sunt câteva.

Deci, de ce permitem totuși aceste plugin-uri să existe dacă fac o treabă atât de proastă la securitate? Aici, se aplică același lucru ca și pentru WordPress în general. Nu este neapărat că aceste plugin-uri sunt mai nesigure, ele sunt pur și simplu foarte populare. Numai Formularul de contact 7 are peste cinci milioane de instalări.

În plus, acești dezvoltatori fac de fapt o treabă bună în rezolvarea problemelor de securitate odată ce devin cunoscuți. Problema apare doar atunci când utilizatorii nu le aplică. În plus, există eforturi în desfășurare pentru a aborda deficiențele pluginurilor. A existat o propunere recentă pentru un Verificator de pluginuri similar cu pluginul de verificare a temei care este în lucru.

Deci, ce învățăm din asta? Păstrați temele și pluginurile actualizate la fel ca restul site-ului dvs. WordPress.

Vulnerabilități de conectare

Acreditările de conectare sunt un alt factor al site-urilor web care se confruntă cu un hack de succes. Numele de utilizator și parolele slabe reprezintă un risc serios de securitate. Ele sunt ușor compromise prin atacuri de forță brută și umplere de acreditări.

Când se întâmplă așa ceva, nu contează cu adevărat cât de actualizat este site-ul tău sau securitatea pluginurilor și temelor tale. Odată ce cineva are acces deplin la site-ul dvs., există câteva limite pentru ceea ce poate face.

Ca exemplu, Sucuri a găsit utilizatori admin WordPress rău intenționați în 32,69% dintre site-urile web infectate. Doar pentru amuzanți, iată numele de utilizator și e-mailurile pe care le-au folosit cel mai mult.

Pe de altă parte, aceasta este una dintre părțile aflate cel mai mult sub controlul direct al utilizatorilor. De exemplu, WordPress vine cu un generator automat de parole sigure. De ce să nu profiti de ea?

Cu toate acestea, trebuie să faceți același lucru pentru alte conturi legate de site-ul dvs., cum ar fi găzduirea și acreditările FTP. În plus, există măsuri suplimentare pentru a vă proteja pagina de conectare, cum ar fi limitarea încercărilor de conectare și autentificarea cu doi factori.

Statistici de securitate pentru gazduire

Mediul de găzduire și tehnologiile prezente în acesta joacă, de asemenea, un rol în securitate, în special versiunea PHP pe care rulează WordPress. De exemplu, PHP 7 a introdus funcții de securitate mai bune decât predecesorul său PHP 5.

În plus, dezvoltatorii PHP au o politică de sfârșit de viață destul de strictă pentru versiunile lor mai vechi. La momentul scrierii acestui articol, nimic înainte de 8.0 nu mai primește asistență sau remedieri de securitate și, prin urmare, este mai bine să se evite pe termen lung.

Aici, WordPress nu arată atât de bine. În timp ce marea majoritate a site-urilor WordPress rulează pe cel puțin PHP 7.0 cu aproape jumătate pe 7.4, doar puțin mai mult de un sfert utilizează versiunile acceptate activ.

Există chiar și aproximativ 6% care încă rulează pe versiunile PHP 5.x, care nu au mai văzut niciun suport de ani de zile. Deci, dacă nu ați făcut-o încă, actualizați versiunea PHP.

Statistici de securitate WordPress pe scurt

Niciun CMS nu este 100% sigur, de fapt nimic conectat la web nu este. Cu toate acestea, în ciuda a ceea ce ați putea auzi în altă parte, statisticile de securitate ale WordPress sunt în general foarte bune. Da, există probleme care necesită remediere, dar cele mai multe dintre ele sunt abordate în mod activ.

Dacă doriți să ajutați și mai mult la îmbunătățirea cifrelor, puteți face acest lucru urmând aceste bune practici:

• Păstrați WordPress și pluginurile și temele sale actualizate
• Folosiți numai extensii din surse de renume
• Utilizați parole și acreditări puternice pentru tot ceea ce are legătură cu site-ul dvs
• Luați în considerare utilizarea unui firewall și/sau CDN
• Limitați încercările de conectare
• Utilizați un certificat SSL pentru a cripta traficul de pe site-ul dvs. web, inclusiv tabloul de bord
• Alegeți o gazdă care vă permite să vă mențineți versiunea PHP actualizată

Dacă le urmați, ar trebui să aveți statistici de securitate pozitive cel puțin pentru propriul site WordPress.

Ce statistici despre starea securității WordPress vi se par cele mai interesante? Spune-ne în comentariile de mai jos!