Статистика безопасности WordPress: насколько на самом деле безопасен WordPress?

Действительно ли WordPress безопасен? Вероятно, этот вопрос волнует многих новых пользователей, особенно когда они слышат, что это проект с открытым исходным кодом. Итак, есть ли какая-нибудь статистика безопасности WordPress, которая может дать ответ?

На самом деле они есть, и в этом посте мы постарались собрать как можно больше значимых цифр по этой теме. Ниже мы рассмотрим отраслевые отчеты и статистику, касающиеся безопасности ядра WordPress, тем и плагинов, информации для входа и сред хостинга.

В конце концов, мы хотим, чтобы вы не только имели хорошее представление о ситуации с безопасностью WordPress, но и точно знали, в чем заключаются риски, чтобы вы могли их устранить.

По статистике, WordPress — самая популярная цель для хакеров

Первый показатель, который имеет значение, когда речь идет о безопасности WordPress, — это 43%. По данным W3Techs, это доля веб-сайтов, работающих на WordPress, во всем мире. Обратите внимание: дело не в доле рынка систем управления контентом (которая выше), а в общем количестве веб-сайтов в Интернете.

Это довольно большое число. И это важно, потому что, хотя фанатам WordPress это и есть чем гордиться, у этого есть и обратная сторона — известность.

Огромное количество веб-сайтов, работающих на WordPress, означает, что платформа является основной мишенью для хакеров. Фактически, согласно отчету Sucuri об исследовании угроз за 2022 год, на сайты WordPress приходилось 96,2% всех зараженных веб-сайтов.

Это не совсем безопасно, не так ли?

Когда вы видите подобную статистику отдельно, вашей первой мыслью может быть то, что у WordPress действительно есть проблемы с безопасностью. Почему еще на него приходится такое огромное большинство успешных взломов?

Поэтому мы начали с первого номера. WordPress — просто гораздо более известная и прибыльная цель. Гораздо экономичнее и эффективнее использовать систему, которая позволяет вам атаковать буквально сотни миллионов веб-сайтов, а не систему с гораздо меньшей базой пользователей. Очевидно, хакеры тоже так думают.

Плохая новость в том, что им часто это удается. Ежегодно сотни тысяч веб-сайтов WordPress успешно взламываются. Хорошей новостью является то, что, как вы увидите ниже, это происходит не потому, что WordPress небезопасен по своей сути. На самом деле, многих из этих успешных хаков можно полностью избежать. Просто нужно знать, как защитить себя.

Статистика уязвимостей ядра WordPress

Чтобы ответить на вопрос, безопасен ли WordPress, давайте начнем со статистики безопасности основного программного обеспечения WordPress.

Большинство взломанных сайтов не были обновлены

Согласно отчету Sucuri, большинство взломанных веб-сайтов WordPress устарели. В 2022 году более половины зараженных вредоносным ПО использовали не последнюю версию WordPress.

Это неудивительно: некоторые старые версии CMS имеют хорошо известные проблемы безопасности, о которых было публично объявлено. Итак, если вы продолжите размещать свой веб-сайт на одном из них, вы просто приглашаете кого-то воспользоваться этим.

Фактически, все версии WordPress с наибольшим количеством проблем с безопасностью относятся к версии 4.0. С тех пор количество уязвимостей неуклонно снижается.

Отчет Сукури также отражает это. По сравнению с предыдущими цифрами, доля сайтов WordPress, взломанных из-за отсутствия обновлений, снизилась.

Фактически, у WordPress была самая низкая доля заражений из-за устаревших версий среди всех CMS, с которыми они столкнулись.

Так происходит уже два года подряд, и доля WordPress за это время немного упала. Вот для сравнения 2021 год.

Это проблема пользователя, а не проблема WordPress

Итак, как пользователи WordPress обновляют свои веб-сайты? Ну, многие этого не делают. Вот версии WordPress, работающие на веб-сайтах, отслеживаемые WordPress.org.

Как видите, только около 60%% используют самую последнюю версию. Тем не менее, хорошая новость заключается в том, что, по крайней мере, подавляющее большинство используют WordPress 4.0 или выше, где ситуация с уязвимостями становится намного лучше. Кроме того, три четверти обновились до последней основной версии, что является улучшением предыдущей версии. В 2016 году эта доля составляла всего около 50%.

Одной из причин этого, вероятно, являются автоматические обновления, появившиеся в версии 5.6. Вам больше не придется полагаться на то, что пользователи вручную нажмут кнопку «Обновить» . Вместо этого веб-сайты могут автоматически устанавливать новые версии WordPress, что, по-видимому, способствовало этой положительной тенденции.

Инфраструктура безопасности WordPress работает

Несмотря на нежелание пользователей обновлять свои сайты, система безопасности ядра WordPress отлично справляется со своей задачей. Команда безопасности WordPress быстро находит и исправляет проблемы в каждой новой версии WordPress.

В 2023 году у нас уже было три выпуска безопасности, в которых исправлено 20–30 потенциальных уязвимостей. Только в WordPress 6.0.3 было 16 исправлений безопасности. В 2022 году в проекте также было четыре выпуска безопасности, в которых в общей сложности было устранено 26 ошибок безопасности.

Кроме того, эта бдительность распространяется и на другие части экосистемы. Elementor обнаружил критическую уязвимость, которая была быстро исправлена, Ninja Forms получил принудительное обновление от WordPress.org, а BackupBuddy также исправил серьезную уязвимость безопасности и отправил обновленную версию своим пользователям.

Таким образом, хотя у WordPress есть проблемы с безопасностью, как и у любого другого программного обеспечения, у него есть средства защиты, которые быстро на них реагируют. Одним из самых больших препятствий остается заставить пользователей применять решения.

Статистика по безопасности тем WordPress и плагинов

Как самая популярная CMS, WordPress поставляется с огромным количеством расширений, многие из которых бесплатны. На момент написания этой статьи только в каталоге WordPress насчитывалось почти 60 000 плагинов, а также более 11 000 тем.

Это даже не считая тысяч других плагинов, доступных в других частях сети, часто в виде решений премиум-класса. Это замечательная особенность WordPress: что бы вы ни искали, скорее всего, для этого уже есть решение.

При этом каждое расширение, которое вы устанавливаете на свой сайт, является потенциальной точкой входа для злоумышленника. Ответственность за темы и плагины несут отдельные разработчики. Они не тестируются так тщательно, как ядро ​​WordPress, и, следовательно, с большей вероятностью содержат недостатки безопасности. Кроме того, иногда разработчики просто перестают поддерживать свою работу, и она устаревает.

Поэтому неудивительно, что они играют большую роль в статистике безопасности WordPress, особенно плагинов. Фактически, по данным WPScan.com, они содержат подавляющее большинство уязвимостей WordPress.

Patchstack достиг аналогичных показателей.

Видимо, проблема особенно связана с бесплатными плагинами. Sucuri сообщает, что премиум-темы и плагины составляют 8,62% всех сторонних уязвимостей, а на бесплатные расширения приходится 91,38%.

Здесь также распространенной проблемой является то, что владельцы веб-сайтов используют устаревшие версии с известными проблемами безопасности. Sucuri также сообщает, что на 36% всех взломанных веб-сайтов во время исправления присутствовал хотя бы один уязвимый плагин или тема.

Популярные расширения ответственны за большинство взломов

Также интересно распределение плагинов и тем, вызывающих проблемы. По данным Сукури, наиболее часто обнаруживаемыми уязвимыми компонентами были устаревшие версии Contact Form 7 (27,44%), Freemius Library (20,85%) и WooCommerce (14,51%). Есть еще несколько человек.

Так почему же мы до сих пор позволяем существовать этим плагинам, если они так плохо справляются с безопасностью? Здесь применимо то же самое, что и для WordPress в целом. Не обязательно эти плагины более небезопасны, они просто очень популярны. Только у Contact Form 7 установлено более пяти миллионов установок.

Кроме того, эти разработчики действительно хорошо справляются с устранением проблем безопасности, как только о них становится известно. Проблема возникает только тогда, когда пользователи их не применяют. Кроме того, предпринимаются усилия по устранению недостатков плагинов. Недавно было предложено создать плагин проверки плагинов, аналогичный плагину проверки тем, который находится в разработке.

Итак, что мы из этого узнаем? Постоянно обновляйте свои темы и плагины, как и остальную часть вашего сайта WordPress.

Уязвимости входа в систему

Учетные данные для входа — еще один фактор, влияющий на веб-сайты, подвергшиеся успешному взлому. Слабые имена пользователей и пароли представляют серьезную угрозу безопасности. Их легко скомпрометировать с помощью брутфорс-атак и подброса учетных данных.

Когда происходит что-то подобное, не имеет значения, насколько актуален ваш сайт или безопасность ваших плагинов и тем. Как только кто-то получит полный доступ к вашему сайту, у него будет мало ограничений на то, что он может делать.

Например, Sucuri обнаружил злонамеренных пользователей-администраторов WordPress на 32,69% зараженных веб-сайтов. Для интереса вот имена пользователей и адреса электронной почты, которые они использовали чаще всего.

С другой стороны, это одна из частей, находящихся под прямым контролем пользователей. Например, WordPress поставляется с автоматическим генератором безопасных паролей. Почему бы не воспользоваться этим?

Однако вам необходимо сделать то же самое для других учетных записей, связанных с вашим веб-сайтом, таких как учетные данные хостинга и FTP. Кроме того, существуют дополнительные меры для защиты вашей страницы входа, такие как ограничение попыток входа и двухфакторная аутентификация.

Статистика безопасности хостинга

Среда хостинга и присутствующие в ней технологии также играют роль в безопасности, особенно версия PHP, на которой работает WordPress. Например, в PHP 7 представлены лучшие функции безопасности, чем в его предшественнике PHP 5.

Кроме того, разработчики PHP имеют довольно строгую политику прекращения использования своих старых версий. На момент написания этой статьи все, что было раньше 8.0, больше не получало поддержки и исправлений безопасности, поэтому их лучше избегать в долгосрочной перспективе.

Здесь WordPress выглядит не так уж хорошо. Хотя подавляющее большинство веб-сайтов WordPress работают как минимум на PHP 7.0, а почти половина — на версии 7.4, лишь немногим более четверти используют активно поддерживаемые версии.

Есть даже около 6%, которые все еще работают на версиях PHP 5.x, которые уже много лет не получают никакой поддержки. Итак, если вы еще этого не сделали, обновите версию PHP.

Статистика безопасности WordPress в двух словах

Ни одна CMS не является на 100% безопасной, как и все, что связано с Интернетом. Тем не менее, несмотря на то, что вы можете услышать где-то еще, статистика безопасности WordPress в целом очень хорошая. Да, есть проблемы, которые необходимо исправить, но большинство из них активно решаются.

Если вы хотите еще больше улучшить показатели, вы можете сделать это, следуя этим рекомендациям:

• Постоянно обновляйте WordPress, его плагины и темы.
• Используйте расширения только из надежных источников.
• Используйте надежные пароли и учетные данные для всего, что связано с вашим сайтом.
• Рассмотрите возможность использования брандмауэра и/или CDN.
• Ограничить попытки входа
• Используйте сертификат SSL для шифрования трафика на вашем веб-сайте, включая вашу панель управления.
• Выберите хостинг, который позволит вам поддерживать актуальность версии PHP.

Если вы будете следовать этим рекомендациям, у вас должна быть положительная статистика безопасности, по крайней мере, для вашего собственного сайта WordPress.

Какая статистика о состоянии безопасности WordPress вам кажется наиболее интересной? Дайте нам знать в комментариях ниже!