WordPress 真的安全嗎?這可能是許多新用戶心中的一個(gè)問(wèn)題,尤其是當(dāng)他們聽說(shuō)這是一個(gè)開源項(xiàng)目時(shí)。那么,有沒有關(guān)于 WordPress 安全性的統(tǒng)計(jì)數(shù)據(jù)可以提供答案呢?
事實(shí)上,是有的,在這篇文章中,我們?cè)噲D就這個(gè)主題收集盡可能多的有意義的數(shù)字。下面,我們將檢查有關(guān) WordPress 核心、主題和插件、登錄信息和托管環(huán)境安全性的行業(yè)報(bào)告和統(tǒng)計(jì)數(shù)據(jù)。
最后,我們希望您不僅對(duì) WordPress 的安全狀況有一個(gè)很好的了解,而且還準(zhǔn)確地知道風(fēng)險(xiǎn)所在,以便您能夠解決它們。
據(jù)統(tǒng)計(jì),WordPress 是最受黑客攻擊的目標(biāo)
在談?wù)?WordPress 安全性時(shí),第一個(gè)重要的數(shù)據(jù)點(diǎn)是 43%。據(jù) W3Techs 稱,這是運(yùn)行 WordPress 的網(wǎng)站在全球范圍內(nèi)所占的份額。請(qǐng)注意,這不是其在內(nèi)容管理系統(tǒng)中的市場(chǎng)份額(較高),而是在互聯(lián)網(wǎng)上網(wǎng)站總數(shù)中的市場(chǎng)份額。
這是一個(gè)相當(dāng)大的數(shù)字。這很重要,因?yàn)殡m然對(duì)于 WordPress 粉絲來(lái)說(shuō)這是值得自豪的事情,但它也有一個(gè)缺點(diǎn)——曝光。
WordPress 上運(yùn)行的網(wǎng)站數(shù)量之多意味著該平臺(tái)是黑客的主要目標(biāo)。事實(shí)上,在Sucuri 的 2022 年威脅研究報(bào)告中,WordPress 網(wǎng)站占所有受感染網(wǎng)站的 96.2%。
聽起來(lái)不太安全,是嗎?
當(dāng)你單獨(dú)看到這樣的統(tǒng)計(jì)數(shù)據(jù)時(shí),你的第一個(gè)想法可能是 WordPress 確實(shí)存在安全問(wèn)題。否則為什么它會(huì)占成功黑客攻擊的絕大多數(shù)?
這就是為什么我們從第一個(gè)數(shù)字開始。WordPress 是一個(gè)更突出、更有利可圖的目標(biāo)。選擇一種允許您嘗試攻擊數(shù)億個(gè)網(wǎng)站的系統(tǒng),而不是用戶群小得多的系統(tǒng),更加經(jīng)濟(jì)和高效。黑客顯然也是這么想的。
壞消息是,他們常常成功。每年都有數(shù)十萬(wàn)個(gè) WordPress 網(wǎng)站被成功黑客入侵。好消息是,正如您將在下面看到的,這并不是因?yàn)?WordPress 本質(zhì)上不安全。事實(shí)上,許多成功的黑客攻擊都是完全可以避免的。您只需要知道如何保護(hù)自己。
WordPress 核心漏洞統(tǒng)計(jì)
為了回答 WordPress 是否安全,我們先從 WordPress 核心軟件的安全性統(tǒng)計(jì)數(shù)據(jù)開始。
大多數(shù)被黑的網(wǎng)站尚未更新
根據(jù) Sucuri 報(bào)告,大多數(shù)被黑客入侵的 WordPress 網(wǎng)站都已過(guò)時(shí)。到 2022 年,超過(guò)一半的惡意軟件感染者并未在最新版本的 WordPress 上運(yùn)行。
這并不奇怪,一些舊版本的 CMS 存在已公開披露的眾所周知的安全問(wèn)題。因此,如果您繼續(xù)在其中之一上運(yùn)行您的網(wǎng)站,您只是在邀請(qǐng)某人利用它。
事實(shí)上,安全問(wèn)題最多的WordPress版本都在4.0版本之前。從那時(shí)起,漏洞數(shù)量穩(wěn)步減少。
Sucuri 的報(bào)告也反映了這一點(diǎn)。與之前的數(shù)字相比,由于未更新而被黑客攻擊的 WordPress 網(wǎng)站比例有所下降。
事實(shí)上,在他們遇到的所有 CMS 中,由于版本過(guò)時(shí),WordPress 的感染比例最低。
這種情況已經(jīng)連續(xù)兩年出現(xiàn),WordPress 的份額在此期間略有下降。這是2021年的比較。
這是用戶問(wèn)題,而不是 WordPress 問(wèn)題
那么,WordPress 用戶保持網(wǎng)站更新的情況如何呢?嗯,很多人沒有。以下是WordPress.org 跟蹤的在野外網(wǎng)站上運(yùn)行的 WordPress 版本。
正如您所看到的,只有大約 60%% 使用的是最新版本。然而,好消息是,至少絕大多數(shù)是在 WordPress 4.0 或更高版本上,其中漏洞情況變得更好。另外,四分之三已經(jīng)更新到最新的主要版本,這比之前有所改進(jìn)。2016年,這一比例僅為50%左右。
原因之一可能是5.6 版本中引入的自動(dòng)更新。您不再需要依賴用戶手動(dòng)單擊“更新”按鈕。相反,網(wǎng)站可以自動(dòng)安裝新的 WordPress 版本,這顯然促成了這一積極趨勢(shì)。
WordPress 安全基礎(chǔ)設(shè)施有效
盡管用戶不愿意更新他們的網(wǎng)站,但 WordPress 核心的安全系統(tǒng)仍然做得很好。WordPress 安全團(tuán)隊(duì)可以快速發(fā)現(xiàn)并修補(bǔ)每個(gè)新 WordPress 版本中的問(wèn)題。
2023 年,我們已經(jīng)發(fā)布了三個(gè)安全版本,修復(fù)了 20-30 個(gè)潛在漏洞。僅WordPress 6.0.3就包含 16 個(gè)安全修復(fù)程序。2022 年該項(xiàng)目還發(fā)布了 4 個(gè)安全版本,總共解決了 26 個(gè)安全漏洞。
此外,這種警惕性還延伸到了生態(tài)系統(tǒng)的其他部分。Elementor 遇到了一個(gè)嚴(yán)重漏洞,并很快得到了修補(bǔ),Ninja Forms 收到了 WordPress.org 的強(qiáng)制更新,BackupBuddy 也修補(bǔ)了一個(gè)高嚴(yán)重性安全漏洞,并將更新版本推送給用戶。
因此,雖然 WordPress 與其他軟件一樣存在安全問(wèn)題,但它具有可以快速響應(yīng)這些問(wèn)題的故障保護(hù)機(jī)制。仍然存在的最大障礙之一是讓用戶應(yīng)用這些解決方案。
WordPress 主題和插件安全統(tǒng)計(jì)
作為最流行的 CMS,WordPress 附帶了大量擴(kuò)展,其中許多擴(kuò)展是免費(fèi)的。截至撰寫本文時(shí),僅 WordPress 目錄中就有近60,000 個(gè)插件,以及11,000 多個(gè)主題。
這甚至沒有算上網(wǎng)絡(luò)其他部分提供的數(shù)千個(gè)其他插件(通常作為高級(jí)解決方案)。這就是 WordPress 的一個(gè)很酷的地方,無(wú)論您在尋找什么,很可能已經(jīng)有一個(gè)解決方案。
同時(shí),您在站點(diǎn)上安裝的每個(gè)擴(kuò)展都是攻擊者的潛在入口點(diǎn)。主題和插件是各個(gè)開發(fā)人員的責(zé)任。它們沒有像 WordPress 核心那樣經(jīng)過(guò)嚴(yán)格的測(cè)試,因此更有可能包含安全漏洞。此外,有時(shí)開發(fā)人員只是停止支持他們的工作,而這些工作就變得過(guò)時(shí)了。
因此,它們?cè)?WordPress 安全統(tǒng)計(jì)中發(fā)揮重要作用并不奇怪,尤其是插件。事實(shí)上,根據(jù) WPScan.com 的說(shuō)法,它們包含絕大多數(shù) WordPress 漏洞。
Patchstack也得到了類似的數(shù)字。
顯然,特別是免費(fèi)的插件是一個(gè)問(wèn)題。Sucuri 報(bào)告稱,付費(fèi)主題和插件占所有第三方漏洞的 8.62%,而免費(fèi)擴(kuò)展占 91.38%。
這里也存在一個(gè)常見問(wèn)題,即網(wǎng)站所有者使用具有已知安全問(wèn)題的過(guò)時(shí)版本。Sucuri 進(jìn)一步報(bào)告稱,36% 的受感染網(wǎng)站在修復(fù)時(shí)至少存在一個(gè)易受攻擊的插件或主題。
流行的擴(kuò)展是大多數(shù)黑客攻擊的原因
哪些插件和主題引起問(wèn)題的分布也很有趣。據(jù) Sucuri 稱,最常檢測(cè)到的易受攻擊的組件包括過(guò)時(shí)版本的 Contact Form 7 (27.44%)、Freemius Library (20.85%) 和 WooCommerce (14.51%)。還有其他一些。
那么,如果這些插件在安全方面做得如此糟糕,為什么我們?nèi)匀辉试S它們存在呢?在這里,同樣的事情也適用于一般的 WordPress。不一定是這些插件更不安全,它們只是非常流行。僅 Contact Form 7 就有超過(guò) 500 萬(wàn)次安裝。
另外,一旦安全問(wèn)題出名,這些開發(fā)人員實(shí)際上在解決安全問(wèn)題方面做得很好。僅當(dāng)用戶不應(yīng)用它們時(shí)才會(huì)出現(xiàn)問(wèn)題。此外,解決插件缺點(diǎn)的工作也在順利進(jìn)行。最近有一個(gè)關(guān)于插件檢查器的提案,類似于正在進(jìn)行中的主題檢查插件。
那么,我們從中學(xué)到什么?保持主題和插件更新,就像 WordPress 網(wǎng)站的其他部分一樣。
登錄漏洞
登錄憑據(jù)是網(wǎng)站遭受成功黑客攻擊的另一個(gè)因素。弱用戶名和密碼會(huì)帶來(lái)嚴(yán)重的安全風(fēng)險(xiǎn)。它們很容易通過(guò)暴力攻擊和撞庫(kù)攻擊而受到損害。
當(dāng)發(fā)生類似的情況時(shí),您的網(wǎng)站的最新程度或插件和主題的安全性并不重要。一旦有人完全訪問(wèn)您的網(wǎng)站,他們的操作就幾乎沒有限制。
舉個(gè)例子,Sucuri 在 32.69% 的受感染網(wǎng)站中發(fā)現(xiàn)了惡意 WordPress 管理員用戶。僅供娛樂,以下是他們最常使用的用戶名和電子郵件。
另一方面,這是最受用戶直接控制的部分之一。例如,WordPress 附帶一個(gè)自動(dòng)安全密碼生成器。為什么不利用它呢?
但是,您需要對(duì)與您網(wǎng)站相關(guān)的其他帳戶(例如托管和 FTP 憑據(jù))執(zhí)行相同的操作。此外,還有其他措施來(lái)保護(hù)您的登錄頁(yè)面,例如限制登錄嘗試和雙因素身份驗(yàn)證。
托管安全統(tǒng)計(jì)
托管環(huán)境及其中的技術(shù)也在安全性方面發(fā)揮著作用,尤其是運(yùn)行 WordPress 的 PHP 版本。例如,PHP 7 引入了比其前身 PHP 5 更好的安全功能。
另外,PHP 開發(fā)人員對(duì)其舊版本有相當(dāng)嚴(yán)格的終止政策。在撰寫本文時(shí),8.0 之前的任何版本都不再獲得支持或安全修復(fù),因此最好避免長(zhǎng)期使用。
在這里,WordPress 看起來(lái)不太好。雖然絕大多數(shù) WordPress 網(wǎng)站至少運(yùn)行在 PHP 7.0 上,其中近一半運(yùn)行在 7.4 上,但只有略多于四分之一的網(wǎng)站使用積極支持的版本。
甚至有大約 6% 仍然在 PHP 5.x 版本上運(yùn)行,該版本已經(jīng)多年沒有得到任何支持。因此,如果您還沒有更新您的 PHP 版本,請(qǐng)更新它。
WordPress 安全統(tǒng)計(jì)簡(jiǎn)述
沒有 CMS 是 100% 安全的,事實(shí)上,連接到網(wǎng)絡(luò)的任何內(nèi)容都不是 100% 安全的。然而,盡管您可能在其他地方聽到過(guò)這樣的說(shuō)法,WordPress 的安全統(tǒng)計(jì)數(shù)據(jù)總體上非常好。是的,有些問(wèn)題需要解決,但大多數(shù)問(wèn)題正在積極解決。
如果您想進(jìn)一步提高數(shù)字,您可以遵循以下最佳實(shí)踐:
- 保持 WordPress 及其插件和主題更新
- 僅使用來(lái)自可靠來(lái)源的擴(kuò)展
- 對(duì)與您網(wǎng)站相關(guān)的所有內(nèi)容使用強(qiáng)密碼和憑據(jù)
- 考慮使用防火墻和/或 CDN
- 限制登錄嘗試
- 使用 SSL 證書加密您網(wǎng)站上的流量,包括儀表板
- 選擇一個(gè)可以讓您的 PHP 版本保持最新的主機(jī)
如果您遵循這些,那么至少您自己的 WordPress 網(wǎng)站應(yīng)該擁有積極的安全統(tǒng)計(jì)數(shù)據(jù)。
