สถิติเน้นแหล่งที่มาที่ใหญ่ที่สุดของช่องโหว่ WordPress

เราทุกคนทราบดีว่าไซต์ WordPress จำนวนมากถูกแฮ็กในแต่ละปี เป็นเพราะ WordPress เป็นระบบที่ไม่ปลอดภัยหรือไม่? เป็นปัญหาระดับโลกของ WordPress หรือมาจากการกระทำของผู้ดูแลเว็บเหล่านั้น? มันเกิดขึ้นได้อย่างไรและทำไม?

ไม่ว่าคุณจะใช้งานบล็อกส่วนตัว เว็บไซต์ธุรกิจ หรือเว็บไซต์อีคอมเมิร์ซบน WordPress ความปลอดภัยของเว็บไซต์ของคุณควรมีความสำคัญเป็นอันดับแรก อาจมีสาเหตุหลายประการที่ทำให้ความปลอดภัยของไซต์ของคุณถูกบุกรุก สาเหตุที่พบบ่อยที่สุดคือรหัสผ่านที่ไม่รัดกุม ข้อผิดพลาดของผู้ใช้ ซอฟต์แวร์ที่ล้าสมัย และการอัปเดตความปลอดภัยที่ขาดหายไป

ในบทความนี้ เราใช้สถิติล่าสุดจากฐานข้อมูลช่องโหว่ของ WPScan เพื่อเน้นว่าส่วนประกอบใดเป็นส่วนประกอบ WordPress ที่มีช่องโหว่มากที่สุด และเพื่อเน้นย้ำถึงความสำคัญของการเรียกใช้ซอฟต์แวร์ที่ทันสมัยและติดตั้งแพตช์ความปลอดภัยที่จำเป็น

คุณยังสามารถค้นหาสถิติและข้อเท็จจริงที่น่าสนใจเกี่ยวกับช่องโหว่ของ WordPress รวมถึงคำแนะนำบางประการได้ ไปดำน้ำกันเลย

สารบัญ

• ฐานข้อมูลช่องโหว่ WPScan คืออะไร?
• ภาพรวมช่องโหว่ของ WordPress ปลั๊กอินและธีม
  • เหตุใดจึงมีช่องโหว่หลักของ WordPress มากมาย
  • ประเภทของช่องโหว่ใน WordPress core, ปลั๊กอิน & ธีม
  • สถิติช่องโหว่หลักของ WordPress
  • ปลั๊กอิน WordPress 10 อันดับแรกที่เสี่ยงที่สุด
  • ธีม WordPress ที่เปราะบางที่สุด 10 อันดับแรก
• ช่องโหว่ WordPress เหล่านี้บอกอะไรเราบ้าง?
• วิธีตรวจสอบความปลอดภัยของ WordPress (แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด)

ฐานข้อมูลช่องโหว่ WPScan คืออะไร?

ก่อนที่เราจะเจาะลึกถึงสถิติ เรามาอธิบายว่าเราได้ตัวเลขเหล่านี้มาจากไหน ข้อมูลทั้งหมดถูกดึงมาจากฐานข้อมูลช่องโหว่ WPScan ซึ่งเป็นไฟล์ข้อมูลของ WPScan เวอร์ชันออนไลน์ที่สามารถเรียกดูได้

WPScan เป็นเครื่องสแกนความปลอดภัยกล่องดำ WordPress โอเพ่นซอร์สอัตโนมัติ สแกนเนอร์นี้ใช้ข้อมูลนี้เพื่อตรวจหาช่องโหว่ของคอร์ ปลั๊กอิน และธีมของ WordPress ที่รู้จักในเว็บไซต์ WordPress

จนถึงปัจจุบันฐานข้อมูลช่องโหว่ของ WPScan มีช่องโหว่ 21,755 รายการ โดย 4,154 รายการเป็นช่องโหว่เฉพาะ

ภาพรวมช่องโหว่ของ WordPress ปลั๊กอินและธีม

ตามฐานข้อมูลช่องโหว่ของ WPScan ช่องโหว่ที่รู้จักประมาณ 80% ที่พวกเขาบันทึกไว้นั้นอยู่ในซอฟต์แวร์หลักของ WordPress แต่นี่คือตัวเตะ – เวอร์ชันที่มีช่องโหว่มากที่สุดกลับมาอยู่ใน WordPress 3.X

จนถึงตอนนี้ มีช่องโหว่ซอฟต์แวร์หลักของ WordPress 17,467 รายการในฐานข้อมูลช่องโหว่ของ WPScan จากนั้นมีช่องโหว่ปลั๊กอิน WordPress 3,846 (17%) และช่องโหว่ของธีม WordPress 442 (3%)

เหตุใดจึงมีช่องโหว่หลักของ WordPress มากมาย

จำนวนช่องโหว่ใน WordPress core นั้นสูงเกินจริงในฐานข้อมูลช่องโหว่เนื่องจาก WordPress หลายเวอร์ชัน ด้านล่างนี้คือคำอธิบายว่าเหตุใดจึงเกิดขึ้น

พบช่องโหว่ในการเขียนสคริปต์ข้ามไซต์ในส่วนประกอบใน WordPress เวอร์ชัน 5.4.2 มีการใช้ส่วนประกอบนี้ใน WordPress ตั้งแต่เวอร์ชัน 3.7 ดังนั้น WordPress เวอร์ชันก่อนหน้าทั้งหมดจึงมีความเสี่ยงเช่นกัน

ดังนั้นในฐานข้อมูลช่องโหว่ WPScan จะมีช่องโหว่ที่ไม่ซ้ำกันหนึ่งรายการและช่องโหว่ 256 รายการ!

ดังนั้น WordPress core จึงไม่ปลอดภัย สิ่งสำคัญคือต้องชี้ให้เห็นว่าแกนกลางของ WordPress มาไกลมาก และเป็นซอฟต์แวร์ที่ดีและปลอดภัยกว่าที่เคยเป็นมา

ประเภทของช่องโหว่ใน WordPress core, ปลั๊กอิน & ธีม

ประเภทช่องโหว่ที่ได้รับความนิยมมากที่สุดใน WordPress คอร์ ปลั๊กอิน และธีม ได้แก่ Cross-site Scripting และ SQL Injection

ไม่น่าแปลกใจเมื่อพิจารณาจาก 2 ช่องโหว่นี้ถูกจัดอยู่ในรายการ OWASP Top 10 ของปัญหาด้านความปลอดภัยบนเว็บที่พบบ่อยที่สุดตั้งแต่เริ่มก่อตั้ง

สถิติช่องโหว่หลักของ WordPress

กราฟด้านล่างเน้นย้ำถึง 10 อันดับแรกของเวอร์ชันคอร์ของ WordPress ที่มีช่องโหว่มากที่สุด โดยมีเวอร์ชัน 3.7.1 และ 3.8.1 นำหน้าแพ็คที่มีช่องโหว่ 92 ช่องโหว่ อันดับที่ 2 มีช่องโหว่ 91 รายการคือ WordPress เวอร์ชัน 3.9

อย่างไรก็ตาม ตั้งแต่นั้นมา WordPress มีความปลอดภัยมากขึ้นอย่างแน่นอน มาดูจำนวนช่องโหว่ใน WordPress 5 เวอร์ชันล่าสุดกัน อย่างที่คุณเห็นความแตกต่างนั้นค่อนข้างใหญ่

ปลั๊กอิน WordPress 10 อันดับแรกที่เสี่ยงที่สุด

ต่อไปนี้คือข้อเท็จจริงบางประการเกี่ยวกับปลั๊กอิน WordPress 10 อันดับแรกที่มีช่องโหว่มากที่สุด:

NextGEN Gallery, NinjaForms และ WooCommerce เป็นผู้นำกลุ่มที่มีช่องโหว่ 22 ช่องโหว่

เราประหลาดใจที่เห็น All In One WP Security & Firewall ซึ่งเป็นปลั๊กอินความปลอดภัย WordPress ใน 10 อันดับแรกของปลั๊กอิน WordPress ที่เสี่ยงที่สุด ฉันไม่ได้บอกว่าปลั๊กอินดังกล่าวกันกระสุนได้ แม้ว่าฉันจะคาดหวังว่าปลั๊กอินที่เขียนโดยเจ้าหน้าที่รักษาความปลอดภัยจะมีช่องโหว่น้อยกว่าหรืออย่างน้อยก็ไม่อยู่ในรายชื่อ 10 อันดับแรก

ธีม WordPress ที่เปราะบางที่สุด 10 อันดับแรก

กราฟด้านล่างเน้นที่ธีม WordPress 10 อันดับแรกที่มีช่องโหว่มากที่สุด ช่องโหว่สูงสุดเพียง 5 รายการภายใต้ชื่อ

ธีมมีแนวโน้มที่จะมีช่องโหว่น้อยกว่าปลั๊กอินมาก เนื่องจากมีฟังก์ชันการทำงานน้อยกว่ามาก ตัวอย่างเช่น ในขณะที่ปลั๊กอินส่วนใหญ่จัดการข้อมูล การป้อนข้อมูลของผู้ใช้ และจัดการข้อมูลผู้ใช้ ธีมส่วนใหญ่เปลี่ยนรูปลักษณ์และความรู้สึกของเว็บไซต์ WordPress

ช่องโหว่ WordPress เหล่านี้บอกอะไรเราบ้าง?

ผู้คนต่างชื่นชอบ WordPress เพราะมีปลั๊กอินและธีมมากมายให้เลือกใช้ ในขณะที่เขียนสิ่งนี้ มีปลั๊กอินมากกว่า 57,000 ปลั๊กอินและมากกว่า 7,000 ธีมบนที่เก็บ WordPress และพรีเมียมเพิ่มเติมอีกหลายพันแบบกระจายอยู่ทั่วเว็บ

แม้ว่าตัวเลือกทั้งหมดเหล่านี้จะช่วยทำให้ไซต์ของคุณดีขึ้น แต่คุณควรทำวิจัยเล็กน้อยก่อนที่จะติดตั้งปลั๊กอินหรือธีมในเว็บไซต์ WordPress ของคุณ แม้ว่านักพัฒนา WordPress ส่วนใหญ่จะทำงานได้ดีในการปฏิบัติตามมาตรฐานโค้ดและแก้ไขปัญหาด้านความปลอดภัยที่รายงานเมื่อทราบแล้ว แต่ก็ยังมีปัญหาที่อาจเกิดขึ้นอยู่สองสามประการ:

• ปลั๊กอินหรือธีมไม่ได้รับการดูแลอีกต่อไป
• นักพัฒนาใช้เวลานานในการออกแพตช์ความปลอดภัยหรือไม่ตอบสนอง
• ปลั๊กอินหรือธีมมีช่องโหว่ อย่างไรก็ตาม เนื่องจากไม่มีความสนใจมากในเรื่องนี้ จึงตรวจไม่พบช่องโหว่

ดูวิธีเลือกปลั๊กอิน WordPress ที่ดีที่สุดสำหรับความต้องการของคุณสำหรับรายละเอียดเพิ่มเติมเกี่ยวกับเรื่องนี้และวิธีพิจารณาว่าปลั๊กอินเป็นตัวเลือกที่ดีสำหรับเว็บไซต์ WordPress ของคุณหรือไม่

ซื้อกลับบ้านคืออะไร?

สรุปคือ ปรับปรุงซอฟต์แวร์ทั้งหมดของคุณให้ทันสมัยอยู่เสมอ!

WordPress เป็นหนึ่งใน CMS ที่ได้รับความนิยมมากที่สุดในโลก และหากคุณปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดและอัปเดตอยู่เสมอ เว็บไซต์ของคุณอาจไม่ค่อยประสบปัญหาใดๆ

สถิติช่องโหว่ WordPress เหล่านี้ถูกต้องหรือไม่?

สถิติเหล่านี้อิงตามข้อมูลที่จัดเก็บไว้ในฐานข้อมูลช่องโหว่ WPScan แม้ว่าจะมีการอัปเดตบ่อยครั้ง แต่ก็ไม่ครบถ้วน

มีปลั๊กอินและธีม WordPress ที่มีช่องโหว่อื่น ๆ อีกมากมายที่ไม่ได้ระบุไว้ที่นี่ อย่างไรก็ตาม สิ่งนี้ทำให้เราเห็นภาพรวมที่ดีเกี่ยวกับสถานะของช่องโหว่ของ WordPress

ส่งช่องโหว่ WordPress ที่ทราบ

ทีมงาน WPScan ขอแนะนำให้ทุกคนที่รู้เกี่ยวกับช่องโหว่ของคอร์ ปลั๊กอิน หรือธีมของ WordPress ส่งรายละเอียดให้พวกเขา

ก่อนส่งช่องโหว่ใหม่ ให้ค้นหาในฐานข้อมูลเพื่อให้แน่ใจว่าไม่เคยส่งปัญหามาก่อน เพื่อให้แน่ใจว่าเรามีแหล่งข้อมูลที่รวมศูนย์และเชื่อถือได้เพียงแหล่งเดียว

วิธีตรวจสอบความปลอดภัยของ WordPress (แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด)

เมื่อเราได้ครอบคลุมศักยภาพและช่องโหว่ที่ทราบแล้ว มาดูวิธีต่างๆ ในการรักษาความปลอดภัยเว็บไซต์ของคุณ

สิ่งแรกคืออัปเดตเวอร์ชัน WordPress ของคุณเป็นประจำ คุณควรพัฒนาแนวทางปฏิบัติในการอัปเดตเวอร์ชัน WordPress ของคุณอย่างแน่นอน และอย่าลืมอัปเดตปลั๊กอินและธีมด้วย

ต่อไปนี้คือการดำเนินการเพิ่มเติมบางอย่างที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณ:

• หลีกเลี่ยงการใช้รหัสผ่านทั่วไป

เมื่อคุณมีรหัสผ่านที่รัดกุม คุณสามารถหลีกเลี่ยงความพยายามในการแฮ็กข้อมูลหรืออย่างน้อยก็ล่าช้า

• ตั้งค่าการเข้าสู่ระบบการตรวจสอบสิทธิ์แบบสองปัจจัย

ใครก็ตามที่ต้องการลงชื่อเข้าใช้เว็บไซต์ WordPress จะต้องผ่านอีกหนึ่งขั้นตอนก่อนจึงจะสามารถเข้าถึงบัญชีของคุณได้

• อย่าใช้ปลั๊กอินและธีมที่เป็นโมฆะ

มันดึงดูดเกือบทุกคน อย่างไรก็ตาม สำเนาปลั๊กอินและธีมพรีเมียมฟรีเหล่านี้มักจะเต็มไปด้วยมัลแวร์ที่เป็นอันตราย สนับสนุนนักพัฒนาปลั๊กอินที่คุณใช้โดยการซื้อรุ่นพรีเมียม ช่วยพัฒนาผลิตภัณฑ์ เพิ่มคุณสมบัติใหม่ และรักษาให้ปลอดภัย

• ใช้ปลั๊กอินความปลอดภัย WordPress

ปัจจุบันมีปลั๊กอินความปลอดภัยมากมายที่สร้างขึ้นเพื่อปกป้องเว็บไซต์ของคุณจากการโจมตีต่างๆ สิ่งที่ดีที่สุดจะได้รับการอัปเดตเป็นประจำ ซึ่งทำให้สามารถตรวจจับความพยายามในการแฮ็กและส่วนเพิ่มเติมในโค้ดของคุณได้ เราพัฒนาปลั๊กอินความปลอดภัยและการจัดการไซต์ของ WordPress จำนวนหนึ่ง ตรวจสอบพวกเขาออก!

เพื่อปิดท้าย

การรักษาความปลอดภัยเว็บไซต์ของคุณมีความสำคัญอย่างยิ่ง การมีมุมมองที่ชัดเจนเกี่ยวกับภัยคุกคามและเครื่องมือที่คุณสามารถใช้เพื่อจัดการกับการโจมตีที่อาจเกิดขึ้นได้นั้นเป็นสิ่งสำคัญ อันดับแรกและสำคัญที่สุดของคุณควรมีและรักษาเว็บไซต์ที่ปลอดภัย

อันเป็นผลมาจากความนิยม WordPress จึงเป็นเป้าหมายใหญ่สำหรับแฮกเกอร์ นั่นเป็นเหตุผลที่คุณต้องดำเนินการให้มากขึ้นเพื่อความปลอดภัยของไซต์ของคุณ ไซต์ที่ปลอดภัยจะฝังความไว้วางใจในผู้มีโอกาสเป็นลูกค้าของคุณอย่างแน่นอน และด้วยเหตุนี้จึงช่วยให้ธุรกิจของคุณเติบโต

ปกป้องเว็บไซต์ของคุณและอยู่อย่างปลอดภัย!