Statisticile evidențiază cea mai mare sursă de vulnerabilități WordPress
Publicat: 2020-10-08Știm cu toții că o mulțime de site-uri WordPress sunt piratate în fiecare an. Este pentru că WordPress este un sistem nesigur? Este o problemă globală WordPress sau vine din acțiunile acelor webmasteri? Cum și de ce se întâmplă?
Indiferent dacă rulați un blog personal, un site web de afaceri sau un site de comerț electronic pe WordPress, securitatea site-ului dvs. ar trebui să fie o prioritate. Pot exista multe motive pentru care securitatea site-ului dvs. este compromisă. Cele mai frecvente motive sunt parolele slabe, greșelile utilizatorilor, software-ul învechit și actualizările de securitate lipsă.
În acest articol folosim cele mai recente statistici din baza de date de vulnerabilități WPScan pentru a evidenția care sunt cele mai vulnerabile componente WordPress și pentru a pune accent pe importanța rulării unui software actualizat și a instalării corecțiilor de securitate necesare.
De asemenea, puteți găsi câteva statistici și fapte interesante despre vulnerabilitățile WordPress, precum și câteva recomandări. Să ne scufundăm direct.
Cuprins
- Ce este baza de date de vulnerabilități WPScan?
- Prezentare generală a vulnerabilităților WordPress, plugin-uri și teme
- De ce există atât de multe vulnerabilități de bază WordPress?
- Tip de vulnerabilități în nucleul, pluginuri și teme WordPress
- Statistici ale vulnerabilităților de bază ale WordPress
- Top 10 cele mai vulnerabile pluginuri WordPress
- Top 10 cele mai vulnerabile teme WordPress
- Ce ne spun aceste vulnerabilități WordPress?
- Cum să asigurați securitatea WordPress (cele mai bune practici de securitate)
Ce este baza de date de vulnerabilități WPScan?
Înainte de a ne arunca în statistici, să explicăm de unde am obținut aceste cifre. Toate datele sunt preluate din baza de date de vulnerabilități WPScan, o versiune online care poate fi navigată a fișierelor de date WPScan.
WPScan este un scaner de securitate WordPress automatizat cu sursă neagră. Acest scaner folosește aceste date pentru a detecta vulnerabilitățile cunoscute de bază ale WordPress, pluginuri și teme din site-urile web WordPress.
Până în prezent, baza de date de vulnerabilități WPScan conține 21.755 de vulnerabilități, dintre care 4.154 sunt vulnerabilități unice.
Prezentare generală a vulnerabilităților WordPress, plugin-uri și teme
Conform bazei de date de vulnerabilități WPScan, ~80% dintre vulnerabilitățile cunoscute pe care le-au înregistrat se află în software-ul de bază WordPress. Dar iată care este declanșarea – versiunile cu cele mai multe vulnerabilități sunt toate înapoi în WordPress 3.X.
Până acum există 17.467 de vulnerabilități software de bază WordPress în baza de date de vulnerabilități WPScan. Apoi există 3.846 (17%) vulnerabilități ale pluginurilor WordPress și 442 (3%) vulnerabilități ale temelor WordPress.
De ce există atât de multe vulnerabilități de bază WordPress?
Numărul de vulnerabilități din nucleul WordPress este umflat în baza de date de vulnerabilități din cauza numeroaselor versiuni de WordPress. Mai jos este o explicație a motivului pentru care se întâmplă acest lucru;
O vulnerabilitate de scripting între site-uri este găsită într-o componentă din WordPress versiunea 5.4.2. Această componentă a fost utilizată în WordPress începând cu versiunea 3.7. Prin urmare, toate versiunile lansate anterioare ale WordPress sunt, de asemenea, vulnerabile.
Prin urmare, în baza de date de vulnerabilități WPScan va exista o vulnerabilitate unică și 256 de vulnerabilități!
Deci, miezul WordPress ca atare nu este nesigur. Este foarte important să subliniem că nucleul WordPress a parcurs un drum foarte lung și este un software mult mai bun și mai sigur decât a fost vreodată.
Tip de vulnerabilități în nucleul, pluginuri și teme WordPress
Cele mai populare tipuri de vulnerabilități din nucleul, pluginurile și temele WordPress sunt Cross-site Scripting și SQL Injection.
Acest lucru nu este surprinzător, având în vedere că aceste 2 vulnerabilități au fost enumerate în topul OWASP Top 10 al celor mai frecvente probleme de securitate web de la începuturile sale.
Statistici ale vulnerabilităților de bază ale WordPress
Graficul de mai jos evidențiază primele 10 versiuni de bază WordPress cele mai vulnerabile, versiunile 3.7.1 și 3.8.1 conducând pachetul cu 92 de vulnerabilități fiecare. Pe locul doi, cu 91 de vulnerabilități se află WordPress versiunea 3.9.
Cu toate acestea, de atunci WordPress a devenit cu siguranță mai sigur. Să aruncăm o privire asupra numărului de vulnerabilități din ultimele 5 versiuni de WordPress. După cum puteți vedea, diferența este destul de mare.
Top 10 cele mai vulnerabile pluginuri WordPress
Iată câteva fapte despre Top 10 cele mai vulnerabile pluginuri WordPress:
NextGEN Gallery, NinjaForms și WooCommerce conduc pachetul cu 22 de vulnerabilități fiecare.
Am fost surprinși să vedem All In One WP Security & Firewall, un plugin de securitate WordPress în Top 10 cele mai vulnerabile pluginuri WordPress. Nu spun că astfel de pluginuri sunt antiglonț. Deși m-aș aștepta ca un plugin scris de oameni de securitate să aibă mai puține vulnerabilități sau cel puțin să nu fie în top 10.
Top 10 cele mai vulnerabile teme WordPress
Graficul de mai jos evidențiază primele 10 cele mai vulnerabile teme WordPress. Cel mai înalt are doar 5 vulnerabilități sub numele său.
Temele tind să aibă mult mai puține vulnerabilități decât pluginurile, deoarece fac mult mai puțin în ceea ce privește funcționalitatea. De exemplu, în timp ce majoritatea pluginurilor gestionează datele, introducerea utilizatorului și manipulează datele utilizatorului, temele schimbă în mare parte aspectul site-urilor WordPress.
Ce ne spun aceste vulnerabilități WordPress?
Oamenii iubesc WordPress datorită gamei uriașe de pluginuri și teme disponibile. În momentul scrierii acestui articol, există peste 57.000 de plugin-uri și peste 7.000 de teme în depozitul WordPress și mii de altele premium suplimentare împrăștiate pe web.
Deși toate aceste opțiuni sunt grozave pentru a vă îmbunătăți site-ul, ar trebui să faceți întotdeauna puțină cercetare înainte de a instala un plugin sau o temă pe site-ul dvs. WordPress. În timp ce majoritatea dezvoltatorilor WordPress fac o treabă bună respectând standardele de cod și corectând problemele de securitate raportate odată ce acestea devin cunoscute, există încă câteva probleme potențiale:
- Pluginul sau tema nu mai este menținută,
- Dezvoltatorii au nevoie de mult timp pentru a emite un patch de securitate sau nu răspund,
- Cu toate acestea, un plugin sau o temă are o vulnerabilitate, deoarece nu se acordă prea multă atenție, vulnerabilitatea rămâne nedetectată.
Consultați cum să alegeți cel mai bun plugin WordPress pentru cerințele dvs. pentru mai multe detalii despre acest subiect și cum să determinați dacă un plugin este o alegere bună pentru site-ul dvs. WordPress.
Deci, care este mâncarea la pachet?
Pe scurt, păstrați-vă tot software-ul la zi!
WordPress este unul dintre cele mai populare CMS din lume, iar dacă urmați cele mai bune practici de securitate și îl mențineți actualizat, este foarte puțin probabil ca site-ul dvs. să întâmpine probleme.
Sunt corecte aceste statistici despre vulnerabilități WordPress?
Aceste statistici se bazează pe informațiile stocate în baza de date de vulnerabilități WPScan. Deși este actualizat frecvent, nu este complet complet.
Există multe alte plugin-uri și teme WordPress vulnerabile care nu sunt enumerate aici. Cu toate acestea, acest lucru ne oferă o imagine de ansamblu bună asupra stării vulnerabilităților WordPress.
Trimiteți vulnerabilități WordPress cunoscute
Echipa WPScan îi încurajează pe toți cei care știu despre vulnerabilitățile de bază, plugin sau teme WordPress să le trimită detaliile.
Înainte de a trimite o nouă vulnerabilitate, faceți o căutare în baza de date pentru a vă asigura că problema nu a fost trimisă înainte. Acest lucru ne va asigura că avem o singură sursă de informații centralizată și de încredere.
Cum să asigurați securitatea WordPress (cele mai bune practici de securitate)
Acum că am acoperit toate vulnerabilitățile potențiale și cunoscute, haideți să aruncăm o privire la diferitele modalități de a vă securiza site-ul.
Primul lucru este să vă actualizați în mod regulat versiunea WordPress. Cu siguranță ar trebui să dezvoltați practica de actualizare a versiunii WordPress și, de asemenea, nu uitați să vă actualizați pluginurile și temele.
Iată câteva acțiuni suplimentare pe care le puteți face pentru a vă securiza site-ul WordPress:
- Evitați utilizarea parolelor comune
Când aveți o parolă puternică, orice încercare de hacking poate fi evitată sau cel puțin amânată.
- Configurați o autentificare cu doi factori
Oricine dorește să se conecteze la site-ul dvs. WordPress ar trebui să parcurgă încă un pas înainte de a obține acces la contul dvs.
- Nu utilizați pluginuri și teme anulate
Îi tentează pe aproape toată lumea, totuși aceste copii gratuite ale pluginurilor și temelor premium sunt încărcate de cele mai multe ori cu malware rău intenționat. Sprijiniți dezvoltatorii pluginurilor pe care le utilizați cumpărând ediția premium. Ajută la dezvoltarea în continuare a produsului, adăugarea de noi funcții și menținerea acestuia în siguranță.
- Utilizați pluginuri de securitate WordPress
În prezent, există o mare varietate de pluginuri de securitate care sunt create pentru a vă proteja site-ul web de diverse atacuri. Cele mai bune sunt actualizate în mod regulat, ceea ce le face capabile să detecteze orice încercare de hacking și orice adăugare la codul dvs. Dezvoltăm o serie de pluginuri WordPress de securitate și de gestionare a site-urilor. Verifică-i!
Pentru a încheia
Securizarea site-ului dvs. este foarte esențială. Este crucial să aveți o vedere clară asupra amenințărilor și a instrumentelor pe care le puteți utiliza pentru a face față atacurilor potențiale. Prima și cea mai importantă prioritate ar trebui să fie să aveți și să mențineți un site web securizat.
Ca urmare a popularității sale, WordPress este o țintă mare pentru hackeri. De aceea trebuie să faceți o milă suplimentară pentru a vă asigura siguranța site-ului dvs. Un site securizat va încorpora cu siguranță încredere în potențialii dvs. clienți și, prin urmare, va ajuta la creșterea afacerii dvs.
Păstrați-vă site-ul web protejat și rămâneți în siguranță!