Rezultatele sondajului de securitate WordPress 2022
Publicat: 2022-09-06Am realizat recent un sondaj pentru a înțelege mai bine starea securității WordPress. Sondajul a fost deschis tuturor și a inclus mai multe întrebări legate de securitatea WordPress. Acest raport detaliază constatările noastre.
De ce acest sondaj?
Securitatea WordPress este un subiect esențial în mintea multor administratori și proprietari de site-uri web. Datorită naturii sale deschise și iterative, nu este întotdeauna ușor de înțeles dacă eforturile tale merg suficient de departe sau dacă există domenii care necesită atenție și dezvoltare suplimentară. Acest lucru este valabil mai ales atunci când jonglați cu mai multe lucruri simultan - așa cum este adesea cazul cu gestionarea site-urilor web WordPress.
În acest scop, am căutat să obținem un instantaneu al stării securității WordPress. Deși sondajul nu acoperă toate aspectele, este totuși suficient pentru a oferi o imagine generală a securității generale WordPress.
Cât de importantă este securitatea WordPress pentru tine?
Prima întrebare pe care am pus-o a analizat importanța securității WordPress pentru administratorii și proprietarii de site-uri WordPress. Deloc surprinzător, marea majoritate a respondenților consideră securitatea WordPress ca fiind esențială. De fapt, 96% dintre respondenți consideră securitatea WordPress ca fiind foarte importantă, în timp ce 4% dintre respondenți o consideră oarecum importantă.
În timp ce marea majoritate consideră securitatea WordPress ca fiind foarte importantă, timpul dedicat securizării WordPress variază considerabil. Ne vom uita la aceste cifre în continuare.
Timpul total alocat sarcinilor de securitate
Un procent mai semnificativ de administratori petrec între una și trei ore pe lună pentru sarcini de securitate, în timp ce 35% dintre respondenți petrec mai mult de trei ore. 22% petrec mai puțin de o oră pe lună. Deși aceasta este o minoritate, aceasta reprezintă totuși un procent considerabil din toți respondenții.
Un lucru care este de remarcat aici este că timpul petrecut cu sarcinile de securitate tinde să varieze în timp. De obicei, se petrece un timp substanțial în timpul configurării inițiale. Odată ce totul este în funcțiune, în general se petrece mai puțin timp pentru sarcinile legate de securitate, cu câteva ore pe lună suficiente pentru a acoperi întreținerea continuă. Dimensiunea și complexitatea site-urilor web pot juca, de asemenea, un rol considerabil în timpul petrecut.
Întărirea WordPress și cele mai bune practici
Întărirea WordPress este un proces de cea mai bună practică care are ca scop reducerea suprafeței de atac a site-urilor WordPress. Niciun standard convenit nu definește ce include un exercițiu de întărire; cu toate acestea, acest lucru implică de obicei activități precum restricționarea API-ului REST și dezactivarea editorului de fișiere, printre altele.
Când i-am întrebat pe respondenți dacă au întreprins vreodată un astfel de exercițiu de întărire a securității WordPress, marea majoritate – 85% au răspuns că au făcut-o. 28% și-au consolidat manual site-ul WordPress, în timp ce 26% au folosit un plugin sau un serviciu. 31% au folosit un plugin și au efectuat procese manuale. Doar 15% dintre respondenți nu au întreprins niciun exercițiu de întărire.
Actualizări și testare
Actualizările sunt un alt aspect critic al securității WordPress. WordPress însuși, precum și pluginurile și temele, primesc actualizări regulate – sau cel puțin ar trebui. Gestionarea acestor actualizări este esențială, deoarece acestea includ adesea remedieri pentru erori și găuri de securitate prezente în versiunea curentă (instalată).
52% dintre respondenți au actualizările automate activate pentru componente care includ WordPress, pluginuri și teme, în timp ce 48% nu au actualizările automate activate. Desigur, neactivarea actualizărilor automate nu este neapărat un risc de securitate, deoarece mulți administratori optează pentru a testa actualizările înainte de a le lansa în mediul live.
De fapt, 25% dintre respondenți testează întotdeauna actualizările într-un mediu de testare sau de pregătire, în timp ce 26% testează doar actualizările majore. În plus, 32% dintre administratorii chestionați testează uneori actualizările, în timp ce 17% nu testează niciodată actualizările – indiferent de impactul pe care l-ar putea avea asupra site-urilor lor web.
Actualizează strategia
În timp ce atât actualizările automate WordPress, cât și testarea actualizărilor au meritele lor, strategia pe care o folosește poate depinde de mediu. Un site de comerț electronic cu mize mari ar putea dori să testeze actualizările înainte de a le lansa, deoarece o întrerupere poate însemna o pierdere de venituri. Pe de altă parte, un proprietar de site-ul web care preferă să nu fie cât mai mult posibil poate activa actualizările automate pentru a-și păstra site-ul în siguranță, fără a fi nevoit să-l gestioneze în mod activ atât de mult.
Ca atare, ne-am gândit că ar fi interesant să vedem ce strategie generală folosesc administratorii când vine vorba de actualizări.
Actualizări automate și testare | Procent |
---|---|
Actualizările automate sunt activate și uneori testează actualizările | 19 |
Actualizările automate sunt dezactivate și testează întotdeauna actualizările | 16 |
Actualizările automate au fost dezactivate și testează doar actualizările majore | 15 |
Actualizările automate sunt dezactivate și uneori testează actualizările | 13 |
Actualizările automate sunt activate și nu testează niciodată actualizările | 13 |
Actualizările automate sunt activate și testează doar actualizările majore | 11 |
Actualizările automate sunt activate și testează întotdeauna actualizările | 9 |
Actualizările automate sunt dezactivate și nu testează niciodată actualizările | 4 |
Deși majoritatea oamenilor au activată o anumită formă de actualizări automate, mulți administratori efectuează încă o formă de testare înainte de a implementa actualizări în mediul lor live. De fapt, doar 17% dintre toți respondenții nu testează niciodată actualizările.
Utilizarea pluginului de securitate
Participanții la sondaj au fost, de asemenea, întrebați despre utilizarea lor a pluginurilor de securitate. Un accent deosebit a fost pus pe firewall-uri, 2FA, jurnalele de activitate WordPress și pluginurile de securitate pentru parole.
Marea majoritate a respondenților au un plugin de firewall instalat în mediile lor, 81% declarând că au unul sau mai multe instalate. În schimb, 19% nu au niciun plugin pentru firewall instalat.
2FA nu este la fel de popular ca firewall-urile, în ciuda faptului că companii precum Microsoft și Google se unesc în spatele acestui mod mai sigur de a vă conecta la WordPress. De fapt, doar 64% dintre respondenți folosesc 2FA pe site-ul lor, în timp ce 36% nu o folosesc.
Pluginurile de jurnal de activitate sunt la fel de populare ca și pluginurile 2FA, 65% dintre respondenți utilizând unul.
Când vine vorba de securitatea parolelor, 38% dintre respondenți au încredere în utilizatorii lor că vor folosi parole WordPress sigure. Pe de altă parte, 40% folosesc un plugin de securitate pentru parolă WordPress, în timp ce 22% iau în considerare utilizarea unuia.
Pluginuri de top
Top trei pluginuri de firewall | Top trei pluginuri 2FA | Top trei pluginuri pentru jurnalul de activitate |
---|---|---|
WordFence - 49% | Wordfence - 25% | Jurnal de activitate WP - 42% |
Sucuri - 7% | WP 2FA - 22% | Istoric simplu - 7% |
Securitate iThemes - 2,5% | iThemes - 2,5% | Jurnal de activitate - 7% |
Tragerea concluziilor și o cale de urmat
Rezultatele arată un interes puternic pentru securitatea WordPress, ceea ce este încurajator. De asemenea, mulți administratori și proprietari de site-uri iau măsuri pentru a se asigura că site-urile lor sunt sigure. Cu toate acestea, mai trebuie făcută ceva de lucru.
În timp ce 2FA, într-o formă sau alta, există de ceva timp, încă mai trebuie să se recupereze. Pluginurile de firewall continuă să se bucure de o popularitate masivă și, oricât de bune sunt, nu pot proteja site-urile WordPress de încălcarea acreditărilor. Acest lucru face ca pluginurile 2FA să fie esențiale pentru securitatea generală a site-urilor WordPress.
Trebuie spus că acesta este doar un instantaneu al modului în care administratorii WordPress și proprietarii de site-uri web văd securitatea. De asemenea, este important să rețineți că întrebările din acest sondaj acoperă doar elementele de bază ale securității WordPress. Dacă sunteți serios să vă protejați site-urile web, asigurați-vă că urmați blogul nostru, unde acoperim numeroase subiecte despre securitatea WordPress.