WordPress 安全統計:WordPress 到底有多安全?

已發表: 2023-11-01

WordPress 真的安全嗎? 這可能是許多新用戶心中的問題,尤其是當他們聽說這是一個開源專案時。 那麼,有沒有關於 WordPress 安全性的統計數據可以提供答案呢?

事實上,是有的,在這篇文章中,我們試圖就這個主題收集盡可能多的有意義的數字。 下面,我們將檢查有關 WordPress 核心、主題和外掛程式、登入資訊和託管環境安全性的行業報告和統計數據。

最後,我們希望您不僅對 WordPress 的安全狀況有一個很好的了解,而且還準確地知道風險所在,以便您能夠解決它們。

根據統計,WordPress 是最受駭客攻擊的目標

WordPress 安全統計:WordPress 到底有多安全?兩個人看著桌上的統計報告。

在談論 WordPress 安全性時,第一個重要的數據點是 43%。 據 W3Techs 稱,這是運行 WordPress 的網站在全球範圍內所佔的份額。 請注意,這不是其在內容管理系統中的市場份額(較高),而是在互聯網上網站總數中的市場份額。

這是一個相當大的數字。 這很重要,因為雖然對 WordPress 粉絲來說這是值得自豪的事情,但它也有一個缺點——曝光。

WordPress 上運行的網站數量之多意味著該平台是駭客的主要目標。 事實上,在 Sucuri 的 2022 年威脅研究報告中,WordPress 網站佔所有受感染網站的 96.2%。

WordPress 安全統計:WordPress 到底有多安全?受感染網站平台分佈 - 2022 年

聽起來不太安全,是嗎?

當你單獨看到這樣的統計數據時,你的第一個想法可能是 WordPress 確實存在安全問題。 否則為什麼它會佔成功駭客攻擊的絕大多數?

這就是為什麼我們從第一個數字開始。 WordPress 是一個更突出、更有利可圖的目標。 選擇一種允許您嘗試攻擊數億個網站的系統,而不是用戶群小得多的系統,更加經濟和高效。 駭客顯然也是這麼想的。

壞消息是,他們常常會成功。 每年都有數十萬個 WordPress 網站被成功駭客入侵。 好消息是,正如您將在下面看到的,這並不是因為 WordPress 本質上不安全。 事實上,許多成功的駭客攻擊都是完全可以避免的。 您只需要知道如何保護自己。

WordPress 核心漏洞統計

為了回答 WordPress 是否安全,我們先從 WordPress 核心軟體的安全性統計開始。

大多數被駭的網站尚未更新

根據 Sucuri 報告,大多數被駭客入侵的 WordPress 網站都已過時。 到 2022 年,超過一半的惡意軟體感染者並未在最新版本的 WordPress 上運作。

WordPress 安全統計:WordPress 到底有多安全?過時和更新的 CMS - 2022

這並不奇怪,一些舊版本的 CMS 存在已公開披露的眾所周知的安全問題。 因此,如果您繼續在其中一個上運行您的網站,您只是在邀請某人利用它。

事實上,安全問題最多的WordPress版本都在4.0版本之前。 從那時起,漏洞數量穩步減少。

WordPress 安全統計:WordPress 到底有多安全?最新 WordPress 版本的漏洞。

Sucuri 的報告也反映了這一點。 與之前的數字相比,由於未更新而被駭客攻擊的 WordPress 網站比例有所下降。

WordPress 安全統計:WordPress 到底有多安全?過時和更新的 CMS - 2021。

事實上,在他們遇到的所有 CMS 中,由於版本過時,WordPress 的感染比例最低。

WordPress 安全統計:WordPress 到底有多安全?過時的感染 CMS 分發 - 2022 年。

這種情況已經連續兩年出現,WordPress 的份額在此期間略有下降。 這是2021年的比較。

WordPress 安全統計:WordPress 到底有多安全?過時的 CMS 分發版 - 2021 年。

這是使用者問題,而不是 WordPress 問題

那麼,WordPress 用戶保持網站更新的情況如何? 嗯,很多人沒有。 以下是 WordPress.org 追蹤的在野外網站上運行的 WordPress 版本。

WordPress 安全統計:WordPress 到底有多安全? WordPress 版本。

正如您所看到的,只有大約 60%% 使用的是最新版本。 然而,好消息是,至少絕大多數是在 WordPress 4.0 或更高版本上,其中漏洞情況變得更好。 另外,四分之三已經更新到最新的主要版本,比之前有所改進。 2016年,這一比例僅50%左右。

原因之一可能是 5.6 版本中引入的自動更新。 您不再需要依賴使用者手動點擊“更新”按鈕。 相反,網站可以自動安裝新的 WordPress 版本,這顯然促成了這一積極趨勢。

WordPress 安全性 - WordPress 的最新版本

WordPress 安全基礎架構有效

儘管用戶不願意更新他們的網站,但 WordPress 核心的安全系統仍然做得很好。 WordPress 安全團隊可以快速發現並修補每個新 WordPress 版本中的問題。

2023 年,我們已經發布了三個安全版本,修復了 20-30 個潛在漏洞。 僅 WordPress 6.0.3 就包含 16 個安全修復程式。 2022 年該專案也發布了 4 個安全版本,總共解決了 26 個安全漏洞。

WordPress 安全統計:WordPress 到底有多安全? WordPress 6.3.2 安全修復。

此外,這種警覺性也延伸到了生態系的其他部分。 Elementor 遇到了一個嚴重漏洞,並很快得到了修補,Ninja Forms 收到了 WordPress.org 的強制更新,BackupBuddy 也修補了一個高嚴重性安全漏洞,並將更新版本推送給用戶。

WordPress 安全統計:WordPress 到底有多安全?

因此,雖然 WordPress 與其他軟體一樣存在安全性問題,但它具有可以快速回應這些問題的故障保護機制。 仍然存在的最大障礙之一是讓用戶應用這些解決方案。

WordPress 主題與外掛程式安全統計

作為最受歡迎的 CMS,WordPress 附帶了大量擴展,其中許多擴展是免費的。 截至撰寫本文時,僅 WordPress 目錄中就有近 60,000 個插件,以及 11,000 多個主題。

WordPress 安全統計:WordPress 到底有多安全?插件。

這甚至沒有算上網路其他部分提供的數千個其他插件(通常作為高級解決方案)。 這就是 WordPress 的一個很酷的地方,無論您在尋找什麼,很可能已經有一個解決方案。

同時,您在網站上安裝的每個擴充功能都是攻擊者的潛在入口點。 主題和外掛是各個開發人員的責任。 它們沒有像 WordPress 核心那樣經過嚴格的測試,因此更有可能包含安全漏洞。 此外,有時開發人員只是停止支援他們的工作,而這些工作就變得過時了。

因此,它們在 WordPress 安全統計中發揮重要作用並不奇怪,尤其是外掛程式。 事實上,根據 WPScan.com,它們包含絕大多數 WordPress 漏洞。

WordPress 安全統計:WordPress 到底有多安全?以元件劃分的漏洞。

Patchstack 也得到了類似的數字。

WordPress 安全統計:WordPress 到底有多安全?安全漏洞故障。

顯然,特別是免費的插件是一個問題。 Sucuri 報告稱,付費主題和外掛程式佔所有第三方漏洞的 8.62%,而免費擴充佔 91.38%。

這裡也存在一個常見問題,即網站所有者使用具有已知安全問題的過時版本。 Sucuri 進一步報告稱,36% 的受感染網站在修復時至少存在一個易受攻擊的插件或主題。

流行的擴展是大多數黑客攻擊的原因

哪些外掛和主題引起問題的分佈也很有趣。 據 Sucuri 稱,最常檢測到的易受攻擊的組件包括過時版本的 Contact Form 7 (27.44%)、Freemius Library (20.85%) 和 WooCommerce (14.51%)。 還有其他一些。

WordPress 安全統計:WordPress 到底有多安全?有漏洞的頂級軟體。

那麼,如果這些插件在安全性方面做得如此糟糕,為什麼我們仍然允許它們存在? 在這裡,同樣的事情也適用於一般的 WordPress。 不一定是這些插件更不安全,它們只是非常流行。 光是 Contact Form 7 就有超過 500 萬次安裝。

另外,一旦安全問題出名,這些開發人員實際上在解決安全問題方面做得很好。 只有當用戶不應用它們時才會出現問題。 此外,解決插件缺點的工作也順利進行。 最近有一個關於插件檢查器的提案,類似於正在進行中的主題檢查插件。

那麼,我們從中學到什麼呢? 保持主題和外掛程式更新,就像 WordPress 網站的其他部分一樣。

登入漏洞

登入憑證是網站遭受成功駭客攻擊的另一個因素。 弱用戶名和密碼會帶來嚴重的安全風險。 它們很容易透過暴力攻擊和撞庫攻擊而受到損害。

當發生類似的情況時,您的網站的最新程度或外掛程式和主題的安全性並不重要。 一旦有人完全訪問您的網站,他們的操作就幾乎沒有限制。

舉個例子,Sucuri 在 32.69% 的受感染網站中發現了惡意 WordPress 管理員使用者。 僅供娛樂,以下是他們最常使用的使用者名稱和電子郵件。

WordPress 安全統計:WordPress 到底有多安全?十大惡意管理員使用者名稱。

另一方面,這是最受用戶直接控制的部分之一。 例如,WordPress 附帶一個自動安全密碼產生器。 為什麼不利用它呢?

但是,您需要對與您網站相關的其他帳戶(例如託管和 FTP 憑證)執行相同的操作。 此外,還有其他措施來保護您的登入頁面,例如限制登入嘗試和雙重認證。

託管安全統計

託管環境及其中的技術也在安全性方面發揮作用,尤其是運行 WordPress 的 PHP 版本。 例如,PHP 7 引入了比其前身 PHP 5 更好的安全功能。

另外,PHP 開發人員對其舊版有相當嚴格的終止政策。 在撰寫本文時,8.0 之前的任何版本都不再獲得支援或安全修復,因此最好避免長期使用。

WordPress 安全統計:WordPress 到底有多安全? PHP。

在這裡,WordPress 看起來不太好。 雖然絕大多數 WordPress 網站至少運行在 PHP 7.0 上,其中近一半運行在 7.4 上,但只有略多於四分之一的網站使用積極支援的版本。

WordPress 安全統計:WordPress 到底有多安全? PHP版本。

甚至有大約 6% 仍然在 PHP 5.x 版本上運行,該版本已經多年沒有得到任何支援。 因此,如果您還沒有更新您的 PHP 版本,請更新它。

WordPress 安全統計簡述

沒有 CMS 是 100% 安全的,事實上,連接到網路的任何內容都不是 100% 安全的。 然而,儘管您可能在其他地方聽過這樣的說法,WordPress 的安全統計數據總體上非常好。 是的,有些問題需要解決,但大多數問題正在積極解決。

如果您想進一步提高數字,您可以遵循以下最佳實踐:

  • 保持 WordPress 及其外掛程式和主題更新
  • 僅使用來自可靠來源的擴展
  • 對與您網站相關的所有內容使用強密碼和憑證
  • 考慮使用防火牆和/或 CDN
  • 限制登入嘗試
  • 使用 SSL 憑證加密您網站上的流量,包括儀表板
  • 選擇一個可以讓您的 PHP 版本保持最新的主機

如果您遵循這些,那麼至少您自己的 WordPress 網站應該擁有積極的安全統計數據。

您認為 WordPress 安全狀況的哪些統計資料最有趣? 請在下面的評論中告訴我們!