ผลสำรวจความปลอดภัยของ WordPress 2022

เผยแพร่แล้ว: 2022-09-06

เมื่อเร็ว ๆ นี้เราได้ทำการสำรวจเพื่อทำความเข้าใจสถานะความปลอดภัยของ WordPress ให้ดียิ่งขึ้น แบบสำรวจนี้เปิดกว้างสำหรับทุกคนและรวมคำถามที่เกี่ยวข้องกับความปลอดภัยของ WordPress ไว้หลายข้อ รายงานนี้มีรายละเอียดการค้นพบของเรา

ทำไมต้องทำแบบสำรวจนี้

ความปลอดภัยของ WordPress เป็นหัวข้อสำคัญในใจของผู้ดูแลระบบและเจ้าของเว็บไซต์จำนวนมาก เนื่องจากลักษณะที่เปิดกว้างและทำซ้ำ จึงไม่ใช่เรื่องง่ายเสมอไปที่จะเข้าใจว่าความพยายามของคุณไปได้ไกลเพียงพอหรือไม่ หรือมีส่วนที่ต้องให้ความสนใจและการพัฒนาเพิ่มเติมหรือไม่ โดยเฉพาะอย่างยิ่งเมื่อต้องเล่นกลหลาย ๆ อย่างพร้อมกัน – เช่นเดียวกับการจัดการเว็บไซต์ WordPress

ด้วยเหตุนี้ เราจึงพยายามหาภาพรวมสถานะของความปลอดภัยของ WordPress แม้ว่าการสำรวจจะไม่ครอบคลุมทุกด้าน แต่ก็ยังเพียงพอที่จะให้ภาพรวมของการรักษาความปลอดภัย WordPress ทั่วไป

ความปลอดภัยของ WordPress สำคัญกับคุณแค่ไหน?

คำถามแรกที่เราถามได้พิจารณาถึงความสำคัญของความปลอดภัยของ WordPress ต่อผู้ดูแลระบบ WordPress และเจ้าของเว็บไซต์ ไม่น่าแปลกใจเลยที่ผู้ตอบแบบสอบถามส่วนใหญ่มองว่าความปลอดภัยของ WordPress เป็นสิ่งจำเป็น อันที่จริง 96% ของผู้ตอบแบบสอบถามมองว่าการรักษาความปลอดภัยของ WordPress มีความสำคัญมาก ในขณะที่ 4% ของผู้ตอบแบบสอบถามมองว่าค่อนข้างสำคัญ

แม้ว่าคนส่วนใหญ่มองว่าการรักษาความปลอดภัยของ WordPress มีความสำคัญมาก แต่ระยะเวลาที่ใช้ในการรักษาความปลอดภัยของ WordPress นั้นแตกต่างกันอย่างมาก เราจะดูตัวเลขเหล่านี้ต่อไป

เวลาทั้งหมดที่ใช้ในงานรักษาความปลอดภัย

เปอร์เซ็นต์ที่มีนัยสำคัญมากขึ้นของผู้ดูแลระบบใช้เวลาระหว่างหนึ่งถึงสามชั่วโมงต่อเดือนกับงานด้านความปลอดภัย ในขณะที่ 35% ของผู้ตอบแบบสอบถามใช้เวลามากกว่าสามชั่วโมง 22% ใช้เวลาน้อยกว่าหนึ่งชั่วโมงต่อเดือน แม้ว่านี่จะเป็นส่วนน้อย แต่ก็ยังเป็นเปอร์เซ็นต์ของผู้ตอบแบบสอบถามทั้งหมด

สิ่งหนึ่งที่ควรทราบในที่นี้คือ เวลาที่ใช้ในงานด้านความปลอดภัยมักจะแตกต่างกันไปตามช่วงเวลา โดยปกติจะใช้เวลาอย่างมากระหว่างการตั้งค่าเริ่มต้น เมื่อทุกอย่างพร้อมใช้งาน โดยทั่วไปจะใช้เวลาน้อยลงกับงานที่เกี่ยวข้องกับความปลอดภัย โดยใช้เวลาไม่กี่ชั่วโมงต่อเดือนเพียงพอที่จะครอบคลุมการบำรุงรักษาอย่างต่อเนื่อง ขนาดและความซับซ้อนของเว็บไซต์ยังสามารถมีบทบาทอย่างมากในการใช้เวลาเท่าไร

การแข็งตัวของ WordPress และแนวทางปฏิบัติที่ดีที่สุด

การชุบแข็งของ WordPress เป็นกระบวนการปฏิบัติที่ดีที่สุดที่มีเป้าหมายเพื่อลดพื้นผิวการโจมตีของเว็บไซต์ WordPress ไม่มีมาตรฐานใดที่ตกลงร่วมกันจะกำหนดสิ่งที่จะเข้าสู่การฝึกความแข็งแกร่ง อย่างไรก็ตาม การดำเนินการนี้มักเกี่ยวข้องกับกิจกรรมต่างๆ เช่น การจำกัด REST API และการปิดใช้งานโปรแกรมแก้ไขไฟล์ เป็นต้น

เมื่อเราถามผู้ตอบแบบสอบถามว่าพวกเขาเคยดำเนินการเพิ่มความปลอดภัยให้กับ WordPress หรือไม่ คนส่วนใหญ่ - 85% ตอบว่าพวกเขามี 28% เสริมความแข็งแกร่งให้กับเว็บไซต์ WordPress ของพวกเขาเอง ในขณะที่ 26% ใช้ปลั๊กอินหรือบริการ 31% ใช้ปลั๊กอินและดำเนินการด้วยตนเอง มีเพียง 15% ของผู้ตอบแบบสอบถามที่ไม่ได้ออกกำลังกายแบบแข็งกระด้าง

แผนภูมิ 3

การอัปเดตและการทดสอบ

การอัปเดตเป็นอีกแง่มุมที่สำคัญของการรักษาความปลอดภัย WordPress WordPress เอง เช่นเดียวกับปลั๊กอินและธีม จะได้รับการอัปเดตเป็นประจำ – หรืออย่างน้อยก็ควรได้รับการอัปเดต การจัดการการอัปเดตเหล่านี้มีความสำคัญ เนื่องจากมักจะมีการแก้ไขจุดบกพร่องและช่องโหว่ด้านความปลอดภัยที่มีอยู่ในเวอร์ชันปัจจุบัน (ติดตั้งแล้ว)

52% ของผู้ตอบแบบสอบถามเปิดใช้งานการอัปเดตอัตโนมัติสำหรับส่วนประกอบที่มี WordPress, ปลั๊กอิน และธีม ในขณะที่ 48% ไม่ได้เปิดใช้งานการอัปเดตอัตโนมัติ แน่นอนว่า การไม่เปิดใช้งานการอัปเดตอัตโนมัติไม่จำเป็นต้องเป็นความเสี่ยงด้านความปลอดภัย เนื่องจากผู้ดูแลระบบจำนวนมากเลือกที่จะทดสอบการอัปเดตก่อนที่จะนำไปใช้กับสภาพแวดล้อมจริง

อันที่จริง ผู้ตอบแบบสำรวจ 25% ทดสอบการอัปเดตในสภาพแวดล้อมการทดสอบหรือการจัดเตรียมเสมอ ในขณะที่ 26% ทดสอบเฉพาะการอัปเดตที่สำคัญเท่านั้น นอกจากนี้ 32% ของผู้ดูแลระบบที่ทำการสำรวจในบางครั้งจะทดสอบการอัปเดต ในขณะที่ 17% ไม่เคยทดสอบการอัปเดต โดยไม่คำนึงถึงผลกระทบที่อาจมีต่อเว็บไซต์ของตน

อัพเดทกลยุทธ์

แม้ว่าทั้งการอัปเดตอัตโนมัติของ WordPress และการทดสอบการอัปเดตต่างก็มีประโยชน์ แต่กลยุทธ์ที่ใช้อาจขึ้นอยู่กับสภาพแวดล้อม เว็บไซต์อีคอมเมิร์ซที่มีเดิมพันสูงอาจต้องการทดสอบการอัปเดตก่อนเปิดตัว เนื่องจากการหยุดทำงานอาจทำให้สูญเสียรายได้ ในทางกลับกัน เจ้าของเว็บไซต์ที่ต้องการปล่อยมือให้มากที่สุดอาจเปิดการอัปเดตอัตโนมัติเพื่อให้เว็บไซต์ของตนปลอดภัยโดยไม่ต้องจัดการทั้งหมดมากนัก

ด้วยเหตุนี้ เราจึงคิดว่ามันน่าสนใจที่จะเห็นว่าผู้ดูแลระบบกลยุทธ์โดยรวมใช้อะไรในการอัปเดต

อัปเดตและทดสอบอัตโนมัติ เปอร์เซ็นต์
เปิดใช้งานการอัปเดตอัตโนมัติและบางครั้งทดสอบการอัปเดต 19
ปิดใช้งานการอัปเดตอัตโนมัติและทดสอบการอัปเดตเสมอ 16
ปิดใช้งานการอัปเดตอัตโนมัติและทดสอบเฉพาะการอัปเดตที่สำคัญ 15
การอัปเดตอัตโนมัติถูกปิดใช้งานและบางครั้งทดสอบการอัปเดต
13
เปิดใช้งานการอัปเดตอัตโนมัติและไม่เคยทดสอบการอัปเดต 13
เปิดใช้งานการอัปเดตอัตโนมัติและทดสอบเฉพาะการอัปเดตที่สำคัญ 11
เปิดใช้งานการอัปเดตอัตโนมัติและทดสอบการอัปเดตเสมอ 9
ปิดใช้งานการอัปเดตอัตโนมัติและไม่เคยทดสอบการอัปเดต 4

ในขณะที่คนส่วนใหญ่เปิดใช้งานการอัปเดตอัตโนมัติบางรูปแบบ แต่ผู้ดูแลระบบจำนวนมากยังคงทำการทดสอบบางรูปแบบก่อนที่จะปรับใช้การอัปเดตในสภาพแวดล้อมจริงของตน อันที่จริงมีเพียง 17% ของผู้ตอบแบบสอบถามทั้งหมดไม่เคยทดสอบการอัปเดต

การใช้ปลั๊กอินความปลอดภัย

ผู้เข้าร่วมการสำรวจยังถูกถามเกี่ยวกับการใช้ปลั๊กอินความปลอดภัยอีกด้วย มุ่งเน้นไปที่ไฟร์วอลล์ 2FA บันทึกกิจกรรม WordPress และปลั๊กอินความปลอดภัยรหัสผ่าน

ผู้ตอบแบบสอบถามส่วนใหญ่มีปลั๊กอินไฟร์วอลล์ติดตั้งอยู่ในสภาพแวดล้อม โดย 81% ระบุว่าได้ติดตั้งไว้ตั้งแต่หนึ่งรายการขึ้นไป ในทางกลับกัน 19% ไม่ได้ติดตั้งปลั๊กอินไฟร์วอลล์

2FA ไม่ได้รับความนิยมเท่ากับไฟร์วอลล์ แม้ว่าบริษัทต่างๆ เช่น Microsoft และ Google จะสนับสนุนวิธีการลงชื่อเข้าใช้ WordPress ที่ปลอดภัยยิ่งขึ้น อันที่จริง มีเพียง 64% ของผู้ตอบแบบสอบถามใช้ 2FA บนเว็บไซต์ ในขณะที่ 36% ไม่ใช้

ปลั๊กอินบันทึกกิจกรรมได้รับความนิยมพอๆ กับปลั๊กอิน 2FA โดย 65% ของผู้ตอบแบบสอบถามใช้ปลั๊กอินนี้

เมื่อพูดถึงความปลอดภัยของรหัสผ่าน 38% ของผู้ตอบแบบสอบถามไว้วางใจให้ผู้ใช้ใช้รหัสผ่าน WordPress ที่ปลอดภัย ในทางกลับกัน 40% ใช้ปลั๊กอินความปลอดภัยรหัสผ่าน WordPress ในขณะที่ 22% กำลังพิจารณาใช้ปลั๊กอินนี้

ปลั๊กอินยอดนิยม

แผนภูมิ 5

ปลั๊กอินไฟร์วอลล์สามอันดับแรก ปลั๊กอิน 2FA สามอันดับแรก ปลั๊กอินบันทึกกิจกรรมสามอันดับแรก
WordFence - 49% รั้วคำ - 25% บันทึกกิจกรรม WP - 42%

ซูคูริ - 7% WP 2FA - 22% ประวัติอย่างง่าย - 7%
ความปลอดภัยของ iThemes - 2.5% ไอธีม - 2.5% บันทึกกิจกรรม - 7%

การหาข้อสรุปและหนทางข้างหน้า

ผลลัพธ์แสดงความสนใจอย่างมากในความปลอดภัยของ WordPress ซึ่งน่ายินดี เช่นเดียวกัน ผู้ดูแลระบบและเจ้าของเว็บไซต์จำนวนมากกำลังดำเนินการเพื่อให้แน่ใจว่าเว็บไซต์ของตนปลอดภัย ถึงกระนั้น งานบางอย่างก็ยังต้องทำ

แม้ว่า 2FA ในรูปแบบใดรูปแบบหนึ่ง มีมาระยะหนึ่งแล้ว แต่ก็ยังต้องตามให้ทัน ปลั๊กอินไฟร์วอลล์ยังคงได้รับความนิยมอย่างล้นหลาม และพวกเขาไม่สามารถปกป้องเว็บไซต์ WordPress จากการละเมิดข้อมูลประจำตัวได้ สิ่งนี้ทำให้ปลั๊กอิน 2FA จำเป็นต่อการรักษาความปลอดภัยโดยรวมของเว็บไซต์ WordPress

ต้องบอกว่านี่เป็นเพียงภาพรวมของวิธีที่ผู้ดูแลระบบ WordPress และเจ้าของเว็บไซต์ดูความปลอดภัย เป็นสิ่งสำคัญที่จะต้องทราบด้วยว่าคำถามในแบบสำรวจนี้ครอบคลุมถึงแต่พื้นฐานของความปลอดภัยของ WordPress หากคุณจริงจังกับการปกป้องเว็บไซต์ของคุณ อย่าลืมติดตามบล็อกของเรา ซึ่งเราครอบคลุมหัวข้อมากมายเกี่ยวกับความปลอดภัยของ WordPress