Статистика указывает на самый большой источник уязвимостей WordPress

Опубликовано: 2020-10-08

Мы все знаем, что множество сайтов WordPress каждый год взламываются. Это потому, что WordPress — небезопасная система? Это глобальная проблема WordPress или это связано с действиями этих веб-мастеров? Как и почему это происходит?

Независимо от того, ведете ли вы личный блог, бизнес-сайт или сайт электронной коммерции на WordPress, безопасность вашего сайта должна быть приоритетом. Может быть много причин, из-за которых безопасность вашего сайта скомпрометирована. Наиболее распространенными причинами являются слабые пароли, ошибки пользователей, устаревшее программное обеспечение и отсутствие обновлений безопасности.

В этой статье мы используем последнюю статистику из базы данных уязвимостей WPScan, чтобы выделить наиболее уязвимые компоненты WordPress, а также подчеркнуть важность запуска обновленного программного обеспечения и установки необходимых исправлений безопасности.

Вы также можете найти интересную статистику и факты об уязвимостях WordPress, а также несколько рекомендаций. Давайте погрузимся прямо в.

Содержание

  • Что такое база данных уязвимостей WPScan?
  • Обзор уязвимостей WordPress, плагинов и тем
    • Почему существует так много уязвимостей ядра WordPress?
    • Типы уязвимостей в ядре WordPress, плагинах и темах
    • Статистика уязвимостей ядра WordPress
    • Топ-10 самых уязвимых плагинов WordPress
    • Топ-10 самых уязвимых тем WordPress
  • О чем нам говорят эти уязвимости WordPress?
  • Как обеспечить безопасность WordPress (лучшие практики безопасности)

Что такое база данных уязвимостей WPScan?

Прежде чем мы углубимся в статистику, давайте объясним, откуда мы взяли эти цифры. Все данные извлекаются из базы данных уязвимостей WPScan, онлайн-версии файлов данных WPScan.

WPScan — это автоматизированный сканер безопасности черного ящика WordPress с открытым исходным кодом. Этот сканер использует эти данные для обнаружения известных уязвимостей ядра WordPress, плагинов и тем на веб-сайтах WordPress.

На сегодняшний день база данных уязвимостей WPScan содержит 21 755 уязвимостей, 4 154 из которых являются уникальными уязвимостями.

Обзор уязвимостей WordPress, плагинов и тем

Согласно базе данных уязвимостей WPScan, около 80% зарегистрированных ими известных уязвимостей находятся в основном программном обеспечении WordPress. Но вот в чем фишка — версии с наибольшим количеством уязвимостей еще в WordPress 3.X.

На данный момент в базе данных уязвимостей WPScan насчитывается 17 467 уязвимостей ядра WordPress. Кроме того, есть 3846 (17%) уязвимостей плагинов WordPress и 442 (3%) уязвимости тем WordPress.

Уязвимости ядра WordPress в базе данных уязвимостей WPScan.

Почему существует так много уязвимостей ядра WordPress?

Количество уязвимостей в ядре WordPress завышено в базе данных уязвимостей из-за множества версий WordPress. Ниже объясняется, почему это происходит;

Уязвимость межсайтового скриптинга обнаружена в компоненте WordPress версии 5.4.2. Этот компонент используется в WordPress с версии 3.7. Поэтому все предыдущие выпущенные версии WordPress также уязвимы.

Поэтому в базе уязвимостей WPScan будет одна уникальная уязвимость, а уязвимостей 256!

Так что ядро ​​WordPress как таковое не является небезопасным. Очень важно отметить, что ядро ​​WordPress прошло очень долгий путь и стало намного лучше и безопаснее, чем когда-либо.

Типы уязвимостей в ядре WordPress, плагинах и темах

Наиболее популярными типами уязвимостей в ядре, плагинах и темах WordPress являются межсайтовый скриптинг и SQL-инъекция.

Это неудивительно, учитывая, что эти две уязвимости были перечислены в списке OWASP Top 10 самых распространенных проблем веб-безопасности с момента его создания.

Типы уязвимостей

Статистика уязвимостей ядра WordPress

На приведенном ниже графике показаны 10 самых уязвимых версий ядра WordPress, причем версии 3.7.1 и 3.8.1 лидируют с 92 уязвимостями в каждой. На втором месте с 91 уязвимостью находится WordPress версии 3.9.

Топ-10 уязвимостей ядра WordPress

Однако с тех пор WordPress определенно стал более безопасным. Давайте посмотрим на количество уязвимостей в последних 5 версиях WordPress. Как видите, разница довольно большая.

Обзор уязвимостей в последних версиях WordPress

Топ-10 самых уязвимых плагинов WordPress

Вот некоторые факты о 10 самых уязвимых плагинах WordPress:

Галерея NextGEN, NinjaForms и WooCommerce возглавляют список с 22 уязвимостями в каждой.

Топ-10 самых уязвимых плагинов

Мы были удивлены, увидев All In One WP Security & Firewall, плагин безопасности WordPress, в десятке самых уязвимых плагинов WordPress. Я не говорю, что такие плагины пуленепробиваемы. Хотя я ожидаю, что плагин, написанный специалистами по безопасности, будет иметь меньше уязвимостей или, по крайней мере, не будет в топ-10 списка.

Топ-10 самых уязвимых тем WordPress

На приведенном ниже графике показаны 10 наиболее уязвимых тем WordPress. Самый высокий из них имеет под своим именем всего 5 уязвимостей.

Топ-10 самых уязвимых тем в WordPress

Темы, как правило, имеют гораздо меньше уязвимостей, чем плагины, потому что они делают гораздо меньше с точки зрения функциональности. Например, в то время как большинство плагинов обрабатывают данные, пользовательский ввод и манипулируют пользовательскими данными, темы в основном изменяют внешний вид веб-сайтов WordPress.

О чем нам говорят эти уязвимости WordPress?

Люди любят WordPress из-за огромного количества доступных плагинов и тем. На момент написания этой статьи в репозитории WordPress было более 57 000 плагинов и более 7 000 тем, а также тысячи дополнительных премиальных плагинов, разбросанных по сети.

Хотя все эти варианты отлично подходят для улучшения вашего сайта, вы всегда должны провести небольшое исследование, прежде чем устанавливать плагин или тему на свой сайт WordPress. Хотя большинство разработчиков WordPress хорошо соблюдают стандарты кода и исправляют обнаруженные проблемы безопасности, как только о них становится известно, все же есть несколько потенциальных проблем:

  • Плагин или тема больше не поддерживаются,
  • Разработчики долго выпускают исправления безопасности или не отвечают,
  • Однако у плагина или темы есть уязвимость, поскольку на нее не обращают особого внимания, поэтому уязвимость остается незамеченной.

Обратитесь к тому, как выбрать лучший плагин WordPress для ваших требований, чтобы получить более подробную информацию по этому вопросу и как определить, является ли плагин хорошим выбором для вашего сайта WordPress.

Итак, что на вынос?

Короче говоря, держите все свое программное обеспечение в актуальном состоянии!

WordPress — одна из самых популярных CMS в мире, и если вы будете следовать рекомендациям по обеспечению безопасности и поддерживать ее в актуальном состоянии, маловероятно, что на вашем веб-сайте возникнут какие-либо проблемы.

Насколько точна эта статистика уязвимостей WordPress?

Эта статистика основана на информации, хранящейся в базе данных уязвимостей WPScan. Хотя он часто обновляется, он ни в коем случае не является полным.

Есть много других уязвимых плагинов и тем WordPress, которые здесь не перечислены. Тем не менее, это дает нам хороший обзор состояния уязвимостей WordPress.

Сообщите об известных уязвимостях WordPress

Команда WPScan призывает всех, кто знает об уязвимостях ядра WordPress, плагинов или тем, сообщать им подробности.

Перед отправкой новой уязвимости выполните поиск в базе данных, чтобы убедиться, что проблема не была отправлена ​​ранее. Это обеспечит нам единый централизованный и надежный источник информации.

Как обеспечить безопасность WordPress (лучшие практики безопасности)

Теперь, когда мы рассмотрели все потенциальные и известные уязвимости, давайте рассмотрим различные способы защиты вашего веб-сайта.

Во-первых, регулярно обновляйте версию WordPress. Вам определенно следует выработать практику обновления вашей версии WordPress, а также не забывайте обновлять свои плагины и темы.

Вот некоторые дополнительные действия, которые вы можете выполнить, чтобы защитить свой веб-сайт WordPress:

  • Избегайте использования общих паролей

Если у вас есть надежный пароль, любой попытки взлома можно избежать или, по крайней мере, отсрочить.

  • Настройте вход с двухфакторной аутентификацией

Любой, кто хочет войти на ваш сайт WordPress, должен будет пройти еще один шаг, прежде чем получить доступ к вашей учетной записи.

  • Не используйте обнуленные плагины и темы

Это искушает почти всех, однако эти бесплатные копии премиальных плагинов и тем чаще всего загружаются вредоносными программами. Поддержите разработчиков плагинов, которые вы используете, купив премиум-версию. Это помогает развивать продукт, добавлять новые функции и обеспечивать его безопасность.

  • Используйте плагины безопасности WordPress

В настоящее время существует огромное количество разнообразных плагинов безопасности, которые созданы для защиты вашего сайта от различных атак. Лучшие из них регулярно обновляются, что позволяет им обнаруживать любые попытки взлома и любые дополнения к вашему коду. Мы разрабатываем ряд плагинов безопасности и управления сайтом для WordPress. Проверь их!

Обернуть

Защита вашего сайта очень важна. Крайне важно иметь четкое представление об угрозах и инструментах, которые вы можете использовать для борьбы с потенциальными атаками. Ваш первоочередной приоритет должен заключаться в том, чтобы иметь и поддерживать безопасный веб-сайт.

В результате своей популярности WordPress является большой целью для хакеров. Вот почему вы должны приложить дополнительные усилия, чтобы обеспечить безопасность вашего сайта. Защищенный сайт, несомненно, вызовет доверие у ваших потенциальных клиентов и, следовательно, поможет в развитии вашего бизнеса.

Защитите свой сайт и будьте в безопасности!