WordPress 安全统计:WordPress 到底有多安全?
已发表: 2023-11-01WordPress 真的安全吗? 这可能是许多新用户心中的一个问题,尤其是当他们听说这是一个开源项目时。 那么,有没有关于 WordPress 安全性的统计数据可以提供答案呢?
事实上,是有的,在这篇文章中,我们试图就这个主题收集尽可能多的有意义的数字。 下面,我们将检查有关 WordPress 核心、主题和插件、登录信息和托管环境安全性的行业报告和统计数据。
最后,我们希望您不仅对 WordPress 的安全状况有一个很好的了解,而且还准确地知道风险所在,以便您能够解决它们。
据统计,WordPress 是最受黑客攻击的目标
在谈论 WordPress 安全性时,第一个重要的数据点是 43%。 据 W3Techs 称,这是运行 WordPress 的网站在全球范围内所占的份额。 请注意,这不是其在内容管理系统中的市场份额(较高),而是在互联网上网站总数中的市场份额。
这是一个相当大的数字。 这很重要,因为虽然对于 WordPress 粉丝来说这是值得自豪的事情,但它也有一个缺点——曝光。
WordPress 上运行的网站数量之多意味着该平台是黑客的主要目标。 事实上,在 Sucuri 的 2022 年威胁研究报告中,WordPress 网站占所有受感染网站的 96.2%。
听起来不太安全,是吗?
当你单独看到这样的统计数据时,你的第一个想法可能是 WordPress 确实存在安全问题。 否则为什么它会占成功黑客攻击的绝大多数?
这就是为什么我们从第一个数字开始。 WordPress 是一个更突出、更有利可图的目标。 选择一种允许您尝试攻击数亿个网站的系统,而不是用户群小得多的系统,更加经济和高效。 黑客显然也是这么想的。
坏消息是,他们常常成功。 每年都有数十万个 WordPress 网站被成功黑客入侵。 好消息是,正如您将在下面看到的,这并不是因为 WordPress 本质上不安全。 事实上,许多成功的黑客攻击都是完全可以避免的。 您只需要知道如何保护自己。
WordPress 核心漏洞统计
为了回答 WordPress 是否安全,我们先从 WordPress 核心软件的安全性统计数据开始。
大多数被黑的网站尚未更新
根据 Sucuri 报告,大多数被黑客入侵的 WordPress 网站都已过时。 到 2022 年,超过一半的恶意软件感染者并未在最新版本的 WordPress 上运行。
这并不奇怪,一些旧版本的 CMS 存在已公开披露的众所周知的安全问题。 因此,如果您继续在其中之一上运行您的网站,您只是在邀请某人利用它。
事实上,安全问题最多的WordPress版本都在4.0版本之前。 从那时起,漏洞数量稳步减少。
Sucuri 的报告也反映了这一点。 与之前的数字相比,由于未更新而被黑客攻击的 WordPress 网站比例有所下降。
事实上,在他们遇到的所有 CMS 中,由于版本过时,WordPress 的感染比例最低。
这种情况已经连续两年出现,WordPress 的份额在此期间略有下降。 这是2021年的比较。
这是用户问题,而不是 WordPress 问题
那么,WordPress 用户保持网站更新的情况如何呢? 嗯,很多人没有。 以下是 WordPress.org 跟踪的在野外网站上运行的 WordPress 版本。
正如您所看到的,只有大约 60%% 使用的是最新版本。 然而,好消息是,至少绝大多数是在 WordPress 4.0 或更高版本上,其中漏洞情况变得更好。 另外,四分之三已经更新到最新的主要版本,这比之前有所改进。 2016年,这一比例仅为50%左右。
原因之一可能是 5.6 版本中引入的自动更新。 您不再需要依赖用户手动单击“更新”按钮。 相反,网站可以自动安装新的 WordPress 版本,这显然促成了这一积极趋势。
WordPress 安全基础设施有效
尽管用户不愿意更新他们的网站,但 WordPress 核心的安全系统仍然做得很好。 WordPress 安全团队可以快速发现并修补每个新 WordPress 版本中的问题。
2023 年,我们已经发布了三个安全版本,修复了 20-30 个潜在漏洞。 仅 WordPress 6.0.3 就包含 16 个安全修复程序。 2022 年该项目还发布了 4 个安全版本,总共解决了 26 个安全漏洞。
此外,这种警惕性还延伸到了生态系统的其他部分。 Elementor 遇到了一个严重漏洞,并很快得到了修补,Ninja Forms 收到了 WordPress.org 的强制更新,BackupBuddy 也修补了一个高严重性安全漏洞,并将更新版本推送给用户。
因此,虽然 WordPress 与其他软件一样存在安全问题,但它具有可以快速响应这些问题的故障保护机制。 仍然存在的最大障碍之一是让用户应用这些解决方案。
WordPress 主题和插件安全统计
作为最流行的 CMS,WordPress 附带了大量扩展,其中许多扩展是免费的。 截至撰写本文时,仅 WordPress 目录中就有近 60,000 个插件,以及 11,000 多个主题。
这甚至没有算上网络其他部分提供的数千个其他插件(通常作为高级解决方案)。 这就是 WordPress 的一个很酷的地方,无论您在寻找什么,很可能已经有一个解决方案。
同时,您在站点上安装的每个扩展都是攻击者的潜在入口点。 主题和插件是各个开发人员的责任。 它们没有像 WordPress 核心那样经过严格的测试,因此更有可能包含安全漏洞。 此外,有时开发人员只是停止支持他们的工作,而这些工作就变得过时了。
因此,它们在 WordPress 安全统计中发挥重要作用并不奇怪,尤其是插件。 事实上,根据 WPScan.com,它们包含绝大多数 WordPress 漏洞。
Patchstack 也得到了类似的数字。
显然,特别是免费的插件是一个问题。 Sucuri 报告称,付费主题和插件占所有第三方漏洞的 8.62%,而免费扩展占 91.38%。
这里也存在一个常见问题,即网站所有者使用具有已知安全问题的过时版本。 Sucuri 进一步报告称,36% 的受感染网站在修复时至少存在一个易受攻击的插件或主题。
流行的扩展是大多数黑客攻击的原因
哪些插件和主题引起问题的分布也很有趣。 据 Sucuri 称,最常检测到的易受攻击的组件包括过时版本的 Contact Form 7 (27.44%)、Freemius Library (20.85%) 和 WooCommerce (14.51%)。 还有其他一些。
那么,如果这些插件在安全方面做得如此糟糕,为什么我们仍然允许它们存在呢? 在这里,同样的事情也适用于一般的 WordPress。 不一定是这些插件更不安全,它们只是非常流行。 仅 Contact Form 7 就有超过 500 万次安装。
另外,一旦安全问题出名,这些开发人员实际上在解决安全问题方面做得很好。 仅当用户不应用它们时才会出现问题。 此外,解决插件缺点的工作也在顺利进行。 最近有一个关于插件检查器的提案,类似于正在进行中的主题检查插件。
那么,我们从中学到什么? 保持主题和插件更新,就像 WordPress 网站的其他部分一样。
登录漏洞
登录凭据是网站遭受成功黑客攻击的另一个因素。 弱用户名和密码会带来严重的安全风险。 它们很容易通过暴力攻击和撞库攻击而受到损害。
当发生类似的情况时,您的网站的最新程度或插件和主题的安全性并不重要。 一旦有人完全访问您的网站,他们的操作就几乎没有限制。
举个例子,Sucuri 在 32.69% 的受感染网站中发现了恶意 WordPress 管理员用户。 仅供娱乐,以下是他们最常使用的用户名和电子邮件。
另一方面,这是最受用户直接控制的部分之一。 例如,WordPress 附带一个自动安全密码生成器。 为什么不利用它呢?
但是,您需要对与您网站相关的其他帐户(例如托管和 FTP 凭据)执行相同的操作。 此外,还有其他措施来保护您的登录页面,例如限制登录尝试和双因素身份验证。
托管安全统计
托管环境及其中的技术也在安全性方面发挥着作用,尤其是运行 WordPress 的 PHP 版本。 例如,PHP 7 引入了比其前身 PHP 5 更好的安全功能。
另外,PHP 开发人员对其旧版本有相当严格的终止政策。 在撰写本文时,8.0 之前的任何版本都不再获得支持或安全修复,因此最好避免长期使用。
在这里,WordPress 看起来不太好。 虽然绝大多数 WordPress 网站至少运行在 PHP 7.0 上,其中近一半运行在 7.4 上,但只有略多于四分之一的网站使用积极支持的版本。
甚至有大约 6% 仍然在 PHP 5.x 版本上运行,该版本已经多年没有得到任何支持。 因此,如果您还没有更新您的 PHP 版本,请更新它。
WordPress 安全统计简述
没有 CMS 是 100% 安全的,事实上,连接到网络的任何内容都不是 100% 安全的。 然而,尽管您可能在其他地方听到过这样的说法,WordPress 的安全统计数据总体上非常好。 是的,有些问题需要解决,但大多数问题正在积极解决。
如果您想进一步提高数字,您可以遵循以下最佳实践:
- 保持 WordPress 及其插件和主题更新
- 仅使用来自可靠来源的扩展
- 对与您网站相关的所有内容使用强密码和凭据
- 考虑使用防火墙和/或 CDN
- 限制登录尝试
- 使用 SSL 证书加密您网站上的流量,包括仪表板
- 选择一个可以让您的 PHP 版本保持最新的主机
如果您遵循这些,那么至少您自己的 WordPress 网站应该拥有积极的安全统计数据。
您认为有关 WordPress 安全状况的哪些统计数据最有趣? 请在下面的评论中告诉我们!