สถิติความปลอดภัยของ WordPress: WordPress ปลอดภัยแค่ไหน?

WordPress ปลอดภัยจริงหรือ? นั่นอาจเป็นคำถามในใจของผู้ใช้ใหม่จำนวนมาก โดยเฉพาะอย่างยิ่งเมื่อพวกเขาได้ยินว่าเป็นโครงการโอเพ่นซอร์ส มีสถิติเกี่ยวกับความปลอดภัยของ WordPress ที่สามารถให้คำตอบได้หรือไม่?

ตามความเป็นจริง มีและในโพสต์นี้ เราได้พยายามรวบรวมตัวเลขที่มีความหมายในหัวข้อนี้ให้ได้มากที่สุด ด้านล่างนี้ เราจะตรวจสอบรายงานอุตสาหกรรมและสถิติเกี่ยวกับความปลอดภัยของแกน WordPress ธีมและปลั๊กอิน ข้อมูลการเข้าสู่ระบบ และสภาพแวดล้อมการโฮสต์

ท้ายที่สุด เราอยากให้คุณไม่เพียงแต่มีความคิดที่ดีเกี่ยวกับสถานการณ์ความปลอดภัยของ WordPress เท่านั้น แต่ยังต้องรู้ว่าความเสี่ยงอยู่ตรงไหนเพื่อให้คุณจัดการกับมันได้

ตามสถิติแล้ว WordPress เป็นเป้าหมายยอดนิยมสำหรับแฮกเกอร์

จุดข้อมูลแรกที่มีความสำคัญเมื่อพูดถึงความปลอดภัยของ WordPress คือ 43% ตามข้อมูลของ W3Techs นั่นคือส่วนแบ่งทั่วโลกของเว็บไซต์ที่ทำงานบน WordPress โปรดทราบว่าไม่ใช่ส่วนแบ่งการตลาดในระบบการจัดการเนื้อหา (ซึ่งสูงกว่า) แต่เป็นของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

นั่นเป็นจำนวนที่ค่อนข้างมาก และมันก็สำคัญเพราะถึงแม้ในฐานะแฟน WordPress สิ่งนี้จะเป็นสิ่งที่น่าภาคภูมิใจ แต่มันก็มาพร้อมกับข้อเสียเช่นกัน นั่นคือการเปิดเผย

จำนวนเว็บไซต์ที่ทำงานบน WordPress หมายความว่าแพลตฟอร์มดังกล่าวเป็นเป้าหมายหลักสำหรับแฮกเกอร์ ในความเป็นจริงในรายงานการวิจัยภัยคุกคามปี 2022 ของ Sucuri ไซต์ WordPress คิดเป็น 96.2% ของเว็บไซต์ที่ติดไวรัสทั้งหมด

ฟังดูไม่ปลอดภัยจริงๆ ใช่ไหม?

เมื่อคุณเห็นสถิติเช่นนั้นแยกจากกัน ความคิดแรกของคุณอาจเป็นว่า WordPress มีปัญหาด้านความปลอดภัยจริงๆ เหตุใดจึงเป็นสาเหตุของการแฮ็กที่ประสบความสำเร็จส่วนใหญ่เช่นนี้?

นั่นเป็นเหตุผลที่เราเริ่มด้วยเลขตัวแรก WordPress เป็นเพียงเป้าหมายที่โดดเด่นและมีกำไรมากกว่ามาก การเลือกใช้ระบบที่ให้คุณลองโจมตีเว็บไซต์หลายร้อยล้านเว็บไซต์ได้อย่างแท้จริง แทนที่จะเป็นเว็บไซต์ที่มีฐานผู้ใช้น้อยกว่ามากจะประหยัดและมีประสิทธิภาพมากกว่ามาก เห็นได้ชัดว่านั่นคือสิ่งที่แฮกเกอร์คิด

ข่าวร้ายก็คือ พวกเขามักจะประสบความสำเร็จ ทุกๆ ปี เว็บไซต์ WordPress นับแสนถูกแฮ็กสำเร็จ ข่าวดีก็คือ ดังที่คุณเห็นด้านล่าง นั่นไม่ใช่เพราะ WordPress ไม่ปลอดภัยโดยเนื้อแท้ ในความเป็นจริง การแฮ็กที่ประสบความสำเร็จจำนวนมากเหล่านี้สามารถหลีกเลี่ยงได้โดยสิ้นเชิง คุณเพียงแค่ต้องรู้วิธีป้องกันตัวเอง

สถิติช่องโหว่หลักของ WordPress

ในการตอบคำถามว่า WordPress ปลอดภัยหรือไม่ เรามาเริ่มด้วยสถิติเกี่ยวกับความปลอดภัยของซอฟต์แวร์หลักของ WordPress กันดีกว่า

เว็บไซต์ที่ถูกแฮ็กส่วนใหญ่ยังไม่ได้รับการอัปเดต

ตามรายงานของ Sucuri เว็บไซต์ WordPress ที่ถูกแฮ็กส่วนใหญ่ล้าสมัย ในปี 2022 ผู้ที่ติดมัลแวร์มากกว่าครึ่งหนึ่งไม่ได้ทำงานบน WordPress เวอร์ชันล่าสุด

ไม่น่าแปลกใจเลยที่ CMS เวอร์ชันเก่าบางเวอร์ชันจะมีปัญหาด้านความปลอดภัยที่ทราบกันดีซึ่งได้รับการเปิดเผยต่อสาธารณะแล้ว ดังนั้น หากคุณยังคงใช้งานเว็บไซต์ใดเว็บไซต์หนึ่งต่อไป คุณก็แค่เชิญใครสักคนให้ใช้ประโยชน์จากสิ่งนั้น

ที่จริงแล้ว WordPress เวอร์ชันที่มีปัญหาด้านความปลอดภัยส่วนใหญ่ล้วนเป็นเวอร์ชัน 4.0 ตั้งแต่นั้นเป็นต้นมา จำนวนช่องโหว่ก็ลดลงอย่างต่อเนื่อง

รายงานของ Sucuri ยังสะท้อนถึงสิ่งนั้นด้วย เมื่อเปรียบเทียบกับตัวเลขก่อนหน้านี้ สัดส่วนของไซต์ WordPress ที่ถูกแฮ็กเนื่องจากไม่ได้รับการอัปเดตลดลง

ในความเป็นจริง WordPress มีส่วนแบ่งการติดไวรัสต่ำที่สุดเนื่องจากเวอร์ชันที่ล้าสมัยในบรรดา CMS ทั้งหมดที่พวกเขาเจอ

เป็นกรณีนี้เป็นเวลาสองปีติดต่อกันและส่วนแบ่งของ WordPress ลดลงเล็กน้อยในช่วงเวลานั้น นี่คือปี 2021 สำหรับการเปรียบเทียบ

นี่เป็นปัญหาของผู้ใช้ ไม่ใช่ปัญหา WordPress

ดังนั้นสถานะของผู้ใช้ WordPress ทำให้เว็บไซต์ของตนอัปเดตอยู่เสมอ? หลายคนทำไม่ได้ นี่คือเวอร์ชัน WordPress ที่ทำงานบนเว็บไซต์ทั่วไปตามที่ติดตามโดย WordPress.org

อย่างที่คุณเห็นมีเพียงประมาณ 60%% เท่านั้นที่เป็นเวอร์ชันล่าสุด แต่ข่าวดีก็คือคนส่วนใหญ่ใช้ WordPress 4.0 ขึ้นไป ซึ่งสถานการณ์ช่องโหว่จะดีขึ้นมาก นอกจากนี้ สามในสี่ยังได้อัปเดตเป็นเวอร์ชันหลักล่าสุด ซึ่งเป็นการปรับปรุงจากเมื่อก่อน ในปี 2559 ส่วนแบ่งดังกล่าวอยู่ที่ประมาณ 50% เท่านั้น

สาเหตุหนึ่งที่น่าจะเป็นการอัปเดตอัตโนมัติที่เปิดตัวในเวอร์ชัน 5.6 คุณไม่จำเป็นต้องพึ่งพาผู้ใช้ในการคลิกปุ่ม อัปเดต ด้วยตนเองอีกต่อไป แต่เว็บไซต์จะสามารถติดตั้ง WordPress เวอร์ชันใหม่ได้โดยอัตโนมัติ ซึ่งเห็นได้ชัดว่ามีส่วนทำให้เกิดแนวโน้มเชิงบวกนี้

โครงสร้างพื้นฐานด้านความปลอดภัยของ WordPress ใช้งานได้

แม้ว่าผู้ใช้จะไม่เต็มใจที่จะอัปเดตเว็บไซต์ของตน แต่ระบบความปลอดภัยสำหรับแกน WordPress ก็ทำงานได้ดีมาก ทีมรักษาความปลอดภัย WordPress ค้นหาและแก้ไขปัญหาอย่างรวดเร็วใน WordPress ใหม่ทุกรุ่น

ในปี 2023 เรามีรุ่นรักษาความปลอดภัย 3 รุ่นซึ่งแก้ไขช่องโหว่ที่อาจเกิดขึ้นได้ 20-30 รายการ WordPress 6.0.3 เพียงอย่างเดียวมีการแก้ไขด้านความปลอดภัย 16 รายการ นอกจากนี้ยังมีการเปิดตัวการรักษาความปลอดภัยสี่รายการในโปรเจ็กต์ในปี 2022 ซึ่งแก้ไขข้อบกพร่องด้านความปลอดภัยทั้งหมด 26 รายการ

นอกจากนี้ การเฝ้าระวังนี้ยังขยายไปยังส่วนอื่นๆ ของระบบนิเวศด้วย Elementor พบกับช่องโหว่ที่สำคัญซึ่งได้รับการแก้ไขอย่างรวดเร็ว Ninja Forms ได้รับการอัปเดตแบบบังคับจาก WordPress.org และ BackupBuddy ก็ได้แก้ไขข้อบกพร่องด้านความปลอดภัยที่มีความรุนแรงสูงเช่นกัน และเผยแพร่เวอร์ชันที่อัปเดตให้กับผู้ใช้

ดังนั้น แม้ว่า WordPress จะมีปัญหาด้านความปลอดภัยเหมือนกับซอฟต์แวร์อื่นๆ แต่ก็มีระบบป้องกันความผิดพลาดที่ตอบสนองต่อพวกเขาได้อย่างรวดเร็ว อุปสรรคที่ใหญ่ที่สุดประการหนึ่งที่ยังคงอยู่คือการให้ผู้ใช้นำโซลูชันไปใช้

สถิติเกี่ยวกับธีม WordPress และความปลอดภัยของปลั๊กอิน

เนื่องจากเป็น CMS ที่ได้รับความนิยมสูงสุด WordPress จึงมาพร้อมกับส่วนขยายจำนวนมาก ซึ่งหลายส่วนขยายนั้นฟรี ในขณะที่เขียนบทความนี้ มีปลั๊กอินเกือบ 60,000 รายการในไดเร็กทอรี WordPress เพียงอย่างเดียว รวมถึงธีมมากกว่า 11,000 ธีม

นั่นยังไม่นับรวมปลั๊กอินอื่นๆ นับพันที่มีอยู่ในส่วนอื่นๆ ของเว็บด้วยซ้ำ ซึ่งมักจะเป็นโซลูชันระดับพรีเมียม นั่นคือข้อดีของ WordPress ไม่ว่าคุณกำลังมองหาอะไร มีแนวโน้มว่าจะมีวิธีแก้ปัญหาอยู่แล้ว

ในขณะเดียวกัน แต่ละส่วนขยายที่คุณติดตั้งบนไซต์ของคุณก็เป็นจุดเริ่มต้นที่เป็นไปได้สำหรับผู้โจมตี ธีมและปลั๊กอินเป็นความรับผิดชอบของนักพัฒนาแต่ละราย พวกเขาไม่ได้ทดสอบอย่างเข้มงวดเหมือนกับแกน WordPress ดังนั้นจึงมีแนวโน้มที่จะมีข้อบกพร่องด้านความปลอดภัยมากกว่า นอกจากนี้ บางครั้งนักพัฒนาก็หยุดสนับสนุนงานของตนและงานนั้นล้าสมัยไป

ดังนั้นจึงไม่น่าแปลกใจที่พวกเขามีบทบาทสำคัญในสถิติความปลอดภัยของ WordPress โดยเฉพาะปลั๊กอิน ตามข้อมูลของ WPScan.com พบว่ามีช่องโหว่ WordPress ส่วนใหญ่

Patchstack มาถึงในจำนวนที่ใกล้เคียงกัน

เห็นได้ชัดว่าปลั๊กอินฟรีโดยเฉพาะเป็นปัญหา Sucuri รายงานว่าธีมและปลั๊กอินพรีเมียมคิดเป็น 8.62% ของช่องโหว่ของบุคคลที่สามทั้งหมด ในขณะที่ส่วนขยายฟรีคิดเป็น 91.38%

ปัญหาที่พบบ่อยเช่นกันคือเจ้าของเว็บไซต์ใช้เวอร์ชันเก่าที่มีปัญหาด้านความปลอดภัยที่ทราบ Sucuri รายงานเพิ่มเติมว่า 36% ของเว็บไซต์ที่ถูกบุกรุกทั้งหมดมีปลั๊กอินหรือธีมที่มีช่องโหว่อย่างน้อยหนึ่งรายการปรากฏอยู่ในขณะที่ได้รับการแก้ไข

ส่วนขยายยอดนิยมบัญชีสำหรับการแฮ็กส่วนใหญ่

การกระจายตัวของปลั๊กอินและธีมที่ทำให้เกิดปัญหาก็น่าสนใจเช่นกัน จากข้อมูลของ Sucuri ส่วนประกอบที่มีช่องโหว่ที่ตรวจพบบ่อยที่สุด ได้แก่ แบบฟอร์มติดต่อ 7 เวอร์ชันล้าสมัย (27.44%), Freemius Library (20.85%) และ WooCommerce (14.51%) มีอีกสองสามคน

เหตุใดเราจึงยังอนุญาตให้มีปลั๊กอินเหล่านี้อยู่หากปลั๊กอินเหล่านี้ทำงานที่ย่ำแย่ในเรื่องความปลอดภัย ที่นี่สิ่งเดียวกันกับ WordPress โดยทั่วไป ไม่จำเป็นว่าปลั๊กอินเหล่านี้จะไม่ปลอดภัยมากกว่า แต่ปลั๊กอินเหล่านี้ได้รับความนิยมอย่างมาก แบบฟอร์มติดต่อ 7 เพียงอย่างเดียวมีการติดตั้งมากกว่าห้าล้านครั้ง

นอกจากนี้นักพัฒนาเหล่านี้ยังทำงานได้ดีในการแก้ไขปัญหาด้านความปลอดภัยเมื่อทราบแล้ว ปัญหาเกิดขึ้นเมื่อผู้ใช้ไม่ได้ใช้เท่านั้น นอกจากนี้ยังมีความพยายามอย่างดีในการแก้ไขปัญหาข้อบกพร่องของปลั๊กอิน มีข้อเสนอล่าสุดสำหรับตัวตรวจสอบปลั๊กอินที่คล้ายกับปลั๊กอินตรวจสอบธีมที่อยู่ในผลงาน

แล้วเราเรียนรู้อะไรจากสิ่งนั้น? อัปเดตธีมและปลั๊กอินของคุณเหมือนกับส่วนอื่นๆ ของไซต์ WordPress ของคุณ

ช่องโหว่ในการเข้าสู่ระบบ

ข้อมูลรับรองการเข้าสู่ระบบเป็นอีกปัจจัยหนึ่งในเว็บไซต์ที่ประสบกับการแฮ็กที่ประสบความสำเร็จ ชื่อผู้ใช้และรหัสผ่านที่ไม่รัดกุมก่อให้เกิดความเสี่ยงด้านความปลอดภัยอย่างร้ายแรง พวกมันถูกโจมตีได้ง่ายด้วยการโจมตีแบบดุร้ายและการยัดข้อมูลประจำตัว

เมื่อเกิดเหตุการณ์เช่นนี้ขึ้น ไม่สำคัญว่าไซต์ของคุณจะอัปเดตแค่ไหน หรือความปลอดภัยของปลั๊กอินและธีมของคุณเป็นอย่างไร เมื่อมีคนเข้าถึงเว็บไซต์ของคุณโดยสมบูรณ์แล้ว สิ่งที่พวกเขาสามารถทำได้ก็มีข้อจำกัดบางประการ

ในกรณีนี้ Sucuri พบผู้ใช้ผู้ดูแลระบบ WordPress ที่เป็นอันตรายใน 32.69% ของเว็บไซต์ที่ติดไวรัส เพื่อความตลก นี่คือชื่อผู้ใช้และอีเมลที่พวกเขาใช้บ่อยที่สุด

ในทางกลับกัน นี่เป็นหนึ่งในส่วนที่อยู่ภายใต้การควบคุมโดยตรงของผู้ใช้มากที่สุด ตัวอย่างเช่น WordPress มาพร้อมกับเครื่องมือสร้างรหัสผ่านที่ปลอดภัยอัตโนมัติ ทำไมไม่ใช้ประโยชน์จากมัน?

อย่างไรก็ตาม คุณต้องทำเช่นเดียวกันกับบัญชีอื่นๆ ที่เกี่ยวข้องกับเว็บไซต์ของคุณ เช่น โฮสติ้งและข้อมูลรับรอง FTP นอกจากนี้ยังมีมาตรการเพิ่มเติมเพื่อปกป้องหน้าเข้าสู่ระบบของคุณ เช่น การจำกัดความพยายามในการเข้าสู่ระบบและการตรวจสอบสิทธิ์แบบสองปัจจัย

โฮสติ้งสถิติความปลอดภัย

สภาพแวดล้อมการโฮสต์และเทคโนโลยีที่มีอยู่ในนั้นยังมีบทบาทในการรักษาความปลอดภัย โดยเฉพาะเวอร์ชัน PHP ที่ WordPress ใช้งานอยู่ ตัวอย่างเช่น PHP 7 นำเสนอคุณลักษณะด้านความปลอดภัยที่ดีกว่า PHP 5 รุ่นก่อน

นอกจากนี้ นักพัฒนา PHP ยังมีนโยบายการสิ้นสุดอายุการใช้งานที่ค่อนข้างเข้มงวดสำหรับเวอร์ชันเก่าอีกด้วย ในขณะที่เขียนบทความนี้ สิ่งใดก็ตามก่อน 8.0 จะไม่ได้รับการสนับสนุนหรือการแก้ไขด้านความปลอดภัยอีกต่อไป ดังนั้นจึงควรหลีกเลี่ยงในระยะยาว

ที่นี่ WordPress ดูไม่ดีนัก ในขณะที่เว็บไซต์ WordPress ส่วนใหญ่ทำงานบน PHP 7.0 เป็นอย่างน้อย โดยเกือบครึ่งหนึ่งเป็น 7.4 แต่มีมากกว่าหนึ่งในสี่เพียงเล็กน้อยเท่านั้นที่ใช้เวอร์ชันที่รองรับ

มีแม้กระทั่งประมาณ 6% ที่ยังคงทำงานบนเวอร์ชัน PHP 5.x ซึ่งไม่ได้รับการรองรับใดๆ มาหลายปีแล้ว ดังนั้น หากคุณยังไม่ได้อัปเดตเวอร์ชัน PHP ของคุณ

สถิติความปลอดภัยของ WordPress โดยสรุป

ไม่มี CMS ใดที่ปลอดภัย 100% จริงๆ แล้วไม่มีการเชื่อมต่อกับเว็บเลย แม้ว่าคุณอาจได้ยินจากที่อื่น แต่สถิติความปลอดภัยของ WordPress โดยรวมก็ดีมาก ใช่ มีปัญหาที่ต้องแก้ไข แต่ส่วนใหญ่ได้รับการแก้ไขอย่างจริงจัง

หากคุณต้องการช่วยปรับปรุงตัวเลขให้ดียิ่งขึ้นไปอีก คุณสามารถทำได้โดยปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเหล่านี้:

• อัปเดต WordPress รวมถึงปลั๊กอินและธีมอยู่เสมอ
• ใช้ส่วนขยายจากแหล่งที่เชื่อถือได้เท่านั้น
• ใช้รหัสผ่านและข้อมูลรับรองที่รัดกุมสำหรับทุกสิ่งที่เกี่ยวข้องกับเว็บไซต์ของคุณ
• พิจารณาใช้ไฟร์วอลล์และ/หรือ CDN
• จำกัดความพยายามในการเข้าสู่ระบบ
• ใช้ใบรับรอง SSL เพื่อเข้ารหัสการรับส่งข้อมูลบนเว็บไซต์ของคุณ รวมถึงแดชบอร์ดของคุณด้วย
• เลือกโฮสต์ที่ช่วยให้คุณอัปเดตเวอร์ชัน PHP ของคุณให้เป็นปัจจุบันอยู่เสมอ

หากคุณปฏิบัติตามสิ่งเหล่านี้ คุณควรมีสถิติความปลอดภัยเชิงบวกอย่างน้อยสำหรับไซต์ WordPress ของคุณเอง

สถิติใดเกี่ยวกับสถานะความปลอดภัยของ WordPress ที่คุณพบว่าน่าสนใจที่สุด แจ้งให้เราทราบในความคิดเห็นด้านล่าง!