統計數據突出了 WordPress 漏洞的最大來源
已發表: 2020-10-08我們都知道每年都有大量的 WordPress 網站被黑客入侵。 是因為 WordPress 是一個不安全的系統嗎? 這是一個全球性的 WordPress 問題,還是來自那些網站管理員的行為? 它是如何發生的,為什麼會發生?
無論您是在 WordPress 上運行個人博客、商業網站還是電子商務網站,網站的安全性都應該是首要任務。 可能有很多原因會導致您網站的安全性受到威脅。 最常見的原因是密碼弱、用戶錯誤、軟件過時和缺少安全更新。
在本文中,我們使用來自 WPScan 漏洞數據庫的最新統計數據來突出哪些是最易受攻擊的 WordPress 組件,並強調運行最新軟件和安裝必要的安全補丁的重要性。
您還可以找到一些關於 WordPress 漏洞的有趣統計數據和事實,以及一些建議。 讓我們潛入水中。
表中的內容
- 什麼是 WPScan 漏洞數據庫?
- WordPress、插件和主題漏洞概述
- 為什麼有這麼多 WordPress 核心漏洞?
- WordPress 核心、插件和主題中的漏洞類型
- WordPress核心漏洞統計
- 最易受攻擊的 10 個 WordPress 插件
- 前 10 個最易受攻擊的 WordPress 主題
- 這些 WordPress 漏洞告訴我們什麼?
- 如何確保 WordPress 安全(安全最佳實踐)
什麼是 WPScan 漏洞數據庫?
在深入研究統計數據之前,讓我們解釋一下我們從哪裡得到這些數字。 所有數據均從 WPScan 漏洞數據庫中檢索,該數據庫是 WPScan 數據文件的在線可瀏覽版本。
WPScan 是一個開源的自動化 WordPress 黑盒安全掃描器。 該掃描器使用這些數據來檢測 WordPress 網站中已知的 WordPress 核心、插件和主題漏洞。
迄今為止,WPScan 漏洞數據庫包含 21,755 個漏洞,其中 4,154 個是獨特漏洞。
WordPress、插件和主題漏洞概述
根據 WPScan 漏洞數據庫,他們記錄的已知漏洞中約有 80% 位於 WordPress 核心軟件中。 但關鍵在於——漏洞最多的版本都在 WordPress 3.X 中。
到目前為止,WPScan 漏洞數據庫中有 17,467 個 WordPress 核心軟件漏洞。 然後是 3,846 (17%) 個 WordPress 插件漏洞和 442 (3%) 個 WordPress 主題漏洞。
為什麼有這麼多 WordPress 核心漏洞?
由於 WordPress 版本眾多,漏洞數據庫中的 WordPress 核心漏洞數量被誇大了。 以下是為什麼會發生這種情況的解釋;
在 WordPress 版本 5.4.2 的一個組件中發現了一個跨站點腳本漏洞。 從 3.7 版開始,該組件已在 WordPress 中使用。 因此,所有以前發布的 WordPress 版本也容易受到攻擊。
因此,在 WPScan 漏洞數據庫中將有一個獨特的漏洞,256 個漏洞!
所以 WordPress 核心本身並不是不安全的。 重要的是要指出 WordPress 核心已經走過了漫長的道路,它比以往任何時候都更好、更安全。
WordPress 核心、插件和主題中的漏洞類型
WordPress 核心、插件和主題中最流行的漏洞類型是跨站點腳本和 SQL 注入。
考慮到這兩個漏洞自 OWASP 成立以來已被列入最常見 Web 安全問題的前 10 名列表中,這並不奇怪。
WordPress核心漏洞統計
下圖突出顯示了前 10 個最易受攻擊的 WordPress 核心版本,其中 3.7.1 和 3.8.1 版本領先,各有 92 個漏洞。 排在第二位的是 WordPress 3.9 版,有 91 個漏洞。
但是,從那時起,WordPress 肯定變得更加安全。 讓我們來看看最近 5 個版本的 WordPress 的漏洞數量。 如您所見,差異很大。
最易受攻擊的 10 個 WordPress 插件
以下是關於 10 大最易受攻擊的 WordPress 插件的一些事實:
NextGEN Gallery、NinjaForms 和 WooCommerce 各有 22 個漏洞。
我們很驚訝地看到 All In One WP Security & Firewall,這是 10 個最易受攻擊的 WordPress 插件中的 WordPress 安全插件。 我並不是說這樣的插件是防彈的。 儘管我希望安全人員編寫的插件漏洞更少,或者至少不會進入前 10 名。
前 10 個最易受攻擊的 WordPress 主題
下圖突出顯示了前 10 個最易受攻擊的 WordPress 主題。 最高的一個名稱下只有 5 個漏洞。
主題的漏洞往往比插件少得多,因為它們在功能方面做得更少。 例如,雖然大多數插件處理數據、用戶輸入和操作用戶數據,但主題主要改變了 WordPress 網站的外觀和感覺。
這些 WordPress 漏洞告訴我們什麼?
人們喜歡 WordPress,因為有大量可用的插件和主題。 在撰寫本文時,WordPress 存儲庫中有超過 57,000 個插件和 7,000 多個主題,還有數千個額外的高級主題分散在網絡上。
雖然所有這些選項都非常適合讓您的網站變得更好,但在將插件或主題安裝到 WordPress 網站之前,您應該始終做一些研究。 雖然大多數 WordPress 開發人員在遵循代碼標準並在已知安全問題後修補報告的安全問題方面做得很好,但仍然存在一些潛在問題:
- 插件或主題不再維護,
- 開發人員需要很長時間才能發布安全補丁或無響應,
- 然而,插件或主題存在漏洞,因為沒有太多關注漏洞未被檢測到。
有關此主題的更多詳細信息以及如何確定插件是否適合您的 WordPress 網站,請參閱如何根據您的要求選擇最佳 WordPress 插件。
那麼外賣是什麼?
簡而言之,讓您的所有軟件保持最新!
WordPress 是世界上最受歡迎的 CMS 之一,如果您遵循安全最佳實踐並保持最新狀態,您的網站不太可能遇到任何問題。
這些 WordPress 漏洞統計數據準確嗎?
這些統計數據基於存儲在 WPScan 漏洞數據庫中的信息。 儘管它經常更新,但它絕不是完整的。
還有許多其他易受攻擊的 WordPress 插件和主題未在此處列出。 但是,這讓我們對 WordPress 漏洞的狀態有了一個很好的了解。
提交已知的 WordPress 漏洞
WPScan 團隊鼓勵所有了解 WordPress 核心、插件或主題漏洞的人向他們提交詳細信息。
在提交新漏洞之前,請在數據庫中進行搜索以確保之前未提交過該問題。 這將確保我們擁有一個集中且可靠的信息來源。
如何確保 WordPress 安全(安全最佳實踐)
現在我們已經涵蓋了所有潛在的和已知的漏洞,讓我們來看看保護您的網站的不同方法。
首先是定期更新您的 WordPress 版本。 您絕對應該養成更新 WordPress 版本的習慣,並且不要忘記更新您的插件和主題。
為了保護您的 WordPress 網站,您可以執行以下一些附加操作:
- 避免使用通用密碼
當您擁有強密碼時,可以避免或至少延遲任何黑客攻擊。
- 設置雙重身份驗證登錄
任何想要登錄您的 WordPress 網站的人都必須再執行一步才能訪問您的帳戶。
- 不要使用無效的插件和主題
它吸引了幾乎所有人,但是這些免費的高級插件和主題副本往往會加載惡意軟件。 通過購買高級版來支持您使用的插件的開發人員。 它有助於進一步開發產品、添加新功能並確保產品安全。
- 使用 WordPress 安全插件
如今,創建了各種各樣的安全插件來保護您的網站免受各種攻擊。 最好的會定期更新,這使得它們能夠檢測到任何黑客攻擊以及對代碼的任何添加。 我們開發了許多 WordPress 安全和站點管理插件。 去看一下!
總結
保護您的網站非常重要。 清楚地了解威脅以及可用於處理潛在攻擊的工具至關重要。 您的首要任務應該是擁有並維護一個安全的網站。
由於其受歡迎程度,WordPress 成為黑客的一大目標。 這就是為什麼您必須加倍努力以確保您網站的安全。 一個安全的網站肯定會在您的潛在客戶中嵌入信任,從而有助於您的業務發展。
保護您的網站,並保持安全!