Hasil survei keamanan WordPress 2022
Diterbitkan: 2022-09-06Kami baru-baru ini menjalankan survei untuk mendapatkan pemahaman yang lebih baik tentang keadaan keamanan WordPress. Survei ini terbuka untuk semua orang dan menyertakan beberapa pertanyaan terkait keamanan WordPress. Laporan ini merinci temuan kami.
Mengapa survei ini?
Keamanan WordPress adalah topik penting di benak banyak administrator dan pemilik situs web. Karena sifatnya yang terbuka dan berulang, tidak selalu mudah untuk memahami apakah upaya Anda sudah cukup jauh atau apakah ada area yang memerlukan perhatian dan pengembangan lebih lanjut. Ini terutama benar ketika menyulap banyak hal sekaligus – seperti yang sering terjadi dengan mengelola situs web WordPress.
Untuk tujuan ini, kami berusaha untuk mendapatkan gambaran tentang keadaan keamanan WordPress. Meskipun survei tidak mencakup semua aspek, survei ini masih cukup untuk memberikan gambaran menyeluruh tentang keamanan WordPress secara umum.
Seberapa penting keamanan WordPress bagi Anda?
Pertanyaan pertama yang kami ajukan melihat pentingnya keamanan WordPress bagi administrator WordPress dan pemilik situs web. Tidak mengherankan, sebagian besar responden melihat keamanan WordPress sebagai hal yang penting. Faktanya, 96% responden menganggap keamanan WordPress sangat penting, sementara 4% responden menganggapnya agak penting.
Sementara sebagian besar memandang keamanan WordPress sebagai sangat penting, jumlah waktu yang didedikasikan untuk mengamankan WordPress sangat bervariasi. Kita akan melihat angka-angka ini selanjutnya.
Total waktu yang dihabiskan untuk tugas keamanan
Persentase administrator yang lebih signifikan menghabiskan antara satu dan tiga jam per bulan untuk tugas keamanan, sementara 35% responden menghabiskan lebih dari tiga jam. 22% menghabiskan kurang dari satu jam per bulan. Meskipun ini adalah minoritas, ini masih mewakili persentase yang cukup besar dari semua responden.
Satu hal yang menjadi catatan penting di sini adalah bahwa waktu yang dihabiskan untuk tugas keamanan cenderung bervariasi dari waktu ke waktu. Biasanya, banyak waktu dihabiskan selama pengaturan awal. Setelah semuanya berjalan dan berjalan, biasanya lebih sedikit waktu yang dihabiskan untuk tugas-tugas yang berhubungan dengan keamanan dengan beberapa jam per bulan yang cukup untuk menutupi pemeliharaan yang sedang berlangsung. Ukuran dan kompleksitas situs web juga dapat memainkan peran yang cukup besar dalam berapa banyak waktu yang dihabiskan.
Pengerasan WordPress dan praktik terbaik
Pengerasan WordPress adalah proses praktik terbaik yang bertujuan untuk mengurangi permukaan serangan situs web WordPress. Tidak ada standar yang disepakati mendefinisikan apa yang masuk ke dalam latihan pengerasan; namun, ini biasanya melibatkan aktivitas seperti membatasi REST API dan menonaktifkan editor file, antara lain.
Ketika kami bertanya kepada responden apakah mereka pernah melakukan latihan pengerasan keamanan WordPress semacam itu, sebagian besar – 85% menjawab bahwa mereka pernah melakukannya. 28% secara manual mengeraskan situs WordPress mereka, sementara 26% menggunakan plugin atau layanan. 31% menggunakan plugin dan melakukan proses manual. Hanya 15% responden yang tidak melakukan latihan pengerasan.
Pembaruan dan pengujian
Pembaruan adalah aspek penting lain dari keamanan WordPress. WordPress sendiri, serta plugin dan tema, menerima pembaruan rutin – atau setidaknya seharusnya demikian. Mengelola pembaruan ini sangat penting karena mereka sering menyertakan perbaikan untuk bug dan lubang keamanan yang ada di versi (terinstal) saat ini.
52% responden mengaktifkan pembaruan otomatis untuk komponen yang mencakup WordPress, plugin, dan tema, sementara 48% tidak mengaktifkan pembaruan otomatis. Tentu saja, tidak mengaktifkan pembaruan otomatis tidak selalu merupakan risiko keamanan karena banyak administrator memilih untuk menguji pembaruan sebelum meluncurkannya ke lingkungan langsung.
Faktanya, 25% responden selalu menguji pembaruan dalam lingkungan pengujian atau pementasan, sementara 26% hanya menguji pembaruan besar. Selain itu, 32% administrator yang disurvei terkadang menguji pembaruan, sementara 17% tidak pernah menguji pembaruan – terlepas dari dampaknya terhadap situs web mereka.
Memperbarui strategi
Meskipun pembaruan otomatis dan pengujian pembaruan WordPress memiliki kelebihan, strategi yang digunakan seseorang mungkin bergantung pada lingkungan. Situs web eCommerce berisiko tinggi mungkin ingin menguji pembaruan sebelum meluncurkannya, karena pemadaman dapat berarti hilangnya pendapatan. Di sisi lain, pemilik situs web yang lebih suka lepas tangan sebanyak mungkin dapat mengaktifkan pembaruan otomatis untuk menjaga keamanan situs web mereka tanpa harus terlalu banyak mengelolanya secara aktif.
Karena itu, kami pikir akan menarik untuk melihat apa yang diterapkan oleh administrator strategi secara keseluruhan dalam hal pembaruan.
Pembaruan dan pengujian otomatis | Persentase |
---|---|
Pembaruan otomatis diaktifkan dan terkadang menguji pembaruan | 19 |
Pembaruan otomatis dinonaktifkan dan selalu menguji pembaruan | 16 |
Pembaruan otomatis dinonaktifkan dan hanya menguji pembaruan utama | 15 |
Pembaruan otomatis dinonaktifkan dan terkadang menguji pembaruan | 13 |
Pembaruan otomatis diaktifkan dan tidak pernah menguji pembaruan | 13 |
Pembaruan otomatis diaktifkan dan hanya menguji pembaruan utama | 11 |
Pembaruan otomatis diaktifkan dan selalu menguji pembaruan | 9 |
Pembaruan otomatis dinonaktifkan dan tidak pernah menguji pembaruan | 4 |
Sementara sebagian besar orang memiliki beberapa bentuk pembaruan otomatis yang diaktifkan, banyak administrator masih melakukan beberapa bentuk pengujian sebelum menyebarkan pembaruan ke lingkungan hidup mereka. Faktanya, hanya 17% dari semua responden yang tidak pernah menguji pembaruan.
Penggunaan plugin keamanan
Peserta survei juga ditanya tentang penggunaan plugin keamanan mereka. Fokus khusus ditempatkan pada firewall, 2FA, log aktivitas WordPress, dan plugin keamanan kata sandi.
Sebagian besar responden memiliki plugin firewall yang terpasang di lingkungan mereka, dengan 81% menyatakan bahwa mereka telah menginstal satu atau lebih. Sebaliknya, 19% tidak menginstal plugin firewall.
2FA tidak sepopuler firewall, meskipun perusahaan seperti Microsoft dan Google mendukung cara yang lebih aman untuk masuk ke WordPress ini. Faktanya, hanya 64% responden yang menggunakan 2FA di situs web mereka, sementara 36% tidak.
Plugin log aktivitas sama populernya dengan plugin 2FA, dengan 65% responden menggunakannya.
Dalam hal keamanan kata sandi, 38% responden memercayai penggunanya untuk menggunakan kata sandi WordPress yang aman. Di sisi lain, 40% menggunakan plugin keamanan kata sandi WordPress, sementara 22% mempertimbangkan untuk menggunakannya.
Plugin teratas
Tiga plugin firewall teratas | Tiga plugin 2FA teratas | Tiga plugin log aktivitas teratas |
---|---|---|
Pagar Kata - 49% | Wordfence - 25% | Log Aktivitas WP - 42% |
Sucuri - 7% | WP 2FA - 22% | Sejarah Sederhana - 7% |
Keamanan iThemes - 2,5% | iThemes - 2.5% | Catatan Aktivitas - 7% |
Menarik kesimpulan dan jalan ke depan
Hasilnya menunjukkan minat yang kuat pada keamanan WordPress, yang menggembirakan. Demikian pula, banyak administrator dan pemilik situs web mengambil tindakan untuk memastikan situs web mereka aman. Namun, beberapa pekerjaan masih perlu dilakukan.
Sementara 2FA, dalam satu atau lain bentuk, telah ada selama beberapa waktu, masih perlu mengejar ketinggalan. Plugin firewall terus menikmati popularitas besar, dan sebagus apa pun, mereka tidak dapat melindungi situs web WordPress dari pelanggaran kredensial. Ini membuat plugin 2FA penting untuk keamanan keseluruhan situs web WordPress.
Harus dikatakan bahwa ini hanyalah gambaran tentang bagaimana administrator WordPress dan pemilik situs web melihat keamanan. Penting juga untuk dicatat bahwa pertanyaan dalam survei ini hanya mencakup dasar-dasar keamanan WordPress. Jika Anda serius ingin melindungi situs web Anda, pastikan Anda mengikuti blog kami, tempat kami membahas banyak topik tentang keamanan WordPress.