[网站安全] WordPress 安全统计:WordPress 到底有多安全?
作者:CC下载站 日期:2023-11-09 20:25:11 浏览:66 分类:站长帮
据统计,WordPress 是最受黑客攻击的目标
在谈论 WordPress 安全性时,第一个重要的数据点是 43%。据 W3Techs 称,这是运行 WordPress 的网站在全球范围内所占的份额。请注意,这不是其在内容管理系统中的市场份额(较高),而是在互联网上网站总数中的市场份额。
这是一个相当大的数字。这很重要,因为虽然对于 WordPress 粉丝来说这是值得自豪的事情,但它也有一个缺点——曝光。
WordPress 上运行的网站数量之多意味着该平台是黑客的主要目标。事实上,在Sucuri 的 2022 年威胁研究报告中,WordPress 网站占所有受感染网站的 96.2%。
听起来不太安全,是吗?
当你单独看到这样的统计数据时,你的第一个想法可能是 WordPress 确实存在安全问题。否则为什么它会占成功黑客攻击的绝大多数?
这就是为什么我们从第一个数字开始。WordPress 是一个更突出、更有利可图的目标。选择一种允许您尝试攻击数亿个网站的系统,而不是用户群小得多的系统,更加经济和高效。黑客显然也是这么想的。
坏消息是,他们常常成功。每年都有数十万个 WordPress 网站被成功黑客入侵。好消息是,正如您将在下面看到的,这并不是因为 WordPress 本质上不安全。事实上,许多成功的黑客攻击都是完全可以避免的。您只需要知道如何保护自己。
WordPress 核心漏洞统计
为了回答 WordPress 是否安全,我们先从 WordPress 核心软件的安全性统计数据开始。
大多数被黑的网站尚未更新
根据 Sucuri 报告,大多数被黑客入侵的 WordPress 网站都已过时。到 2022 年,超过一半的恶意软件感染者并未在最新版本的 WordPress 上运行。
这并不奇怪,一些旧版本的 CMS 存在已公开披露的众所周知的安全问题。因此,如果您继续在其中之一上运行您的网站,您只是在邀请某人利用它。
事实上,安全问题最多的WordPress版本都在4.0版本之前。从那时起,漏洞数量稳步减少。
Sucuri 的报告也反映了这一点。与之前的数字相比,由于未更新而被黑客攻击的 WordPress 网站比例有所下降。
事实上,在他们遇到的所有 CMS 中,由于版本过时,WordPress 的感染比例最低。
这种情况已经连续两年出现,WordPress 的份额在此期间略有下降。这是2021年的比较。
这是用户问题,而不是 WordPress 问题
那么,WordPress 用户保持网站更新的情况如何呢?嗯,很多人没有。以下是WordPress.org 跟踪的在野外网站上运行的 WordPress 版本。
正如您所看到的,只有大约 60%% 使用的是最新版本。然而,好消息是,至少绝大多数是在 WordPress 4.0 或更高版本上,其中漏洞情况变得更好。另外,四分之三已经更新到最新的主要版本,这比之前有所改进。2016年,这一比例仅为50%左右。
原因之一可能是5.6 版本中引入的自动更新。您不再需要依赖用户手动单击“更新”按钮。相反,网站可以自动安装新的 WordPress 版本,这显然促成了这一积极趋势。
WordPress 安全基础设施有效
尽管用户不愿意更新他们的网站,但 WordPress 核心的安全系统仍然做得很好。WordPress 安全团队可以快速发现并修补每个新 WordPress 版本中的问题。
2023 年,我们已经发布了三个安全版本,修复了 20-30 个潜在漏洞。仅WordPress 6.0.3就包含 16 个安全修复程序。2022 年该项目还发布了 4 个安全版本,总共解决了 26 个安全漏洞。
此外,这种警惕性还延伸到了生态系统的其他部分。Elementor 遇到了一个严重漏洞,并很快得到了修补,Ninja Forms 收到了 WordPress.org 的强制更新,BackupBuddy 也修补了一个高严重性安全漏洞,并将更新版本推送给用户。
因此,虽然 WordPress 与其他软件一样存在安全问题,但它具有可以快速响应这些问题的故障保护机制。仍然存在的最大障碍之一是让用户应用这些解决方案。
WordPress 主题和插件安全统计
作为最流行的 CMS,WordPress 附带了大量扩展,其中许多扩展是免费的。截至撰写本文时,仅 WordPress 目录中就有近60,000 个插件,以及11,000 多个主题。
这甚至没有算上网络其他部分提供的数千个其他插件(通常作为高级解决方案)。这就是 WordPress 的一个很酷的地方,无论您在寻找什么,很可能已经有一个解决方案。
同时,您在站点上安装的每个扩展都是攻击者的潜在入口点。主题和插件是各个开发人员的责任。它们没有像 WordPress 核心那样经过严格的测试,因此更有可能包含安全漏洞。此外,有时开发人员只是停止支持他们的工作,而这些工作就变得过时了。
因此,它们在 WordPress 安全统计中发挥重要作用并不奇怪,尤其是插件。事实上,根据 WPScan.com 的说法,它们包含绝大多数 WordPress 漏洞。
Patchstack也得到了类似的数字。
显然,特别是免费的插件是一个问题。Sucuri 报告称,付费主题和插件占所有第三方漏洞的 8.62%,而免费扩展占 91.38%。
这里也存在一个常见问题,即网站所有者使用具有已知安全问题的过时版本。Sucuri 进一步报告称,36% 的受感染网站在修复时至少存在一个易受攻击的插件或主题。
流行的扩展是大多数黑客攻击的原因
哪些插件和主题引起问题的分布也很有趣。据 Sucuri 称,最常检测到的易受攻击的组件包括过时版本的 Contact Form 7 (27.44%)、Freemius Library (20.85%) 和 WooCommerce (14.51%)。还有其他一些。
那么,如果这些插件在安全方面做得如此糟糕,为什么我们仍然允许它们存在呢?在这里,同样的事情也适用于一般的 WordPress。不一定是这些插件更不安全,它们只是非常流行。仅 Contact Form 7 就有超过 500 万次安装。
另外,一旦安全问题出名,这些开发人员实际上在解决安全问题方面做得很好。仅当用户不应用它们时才会出现问题。此外,解决插件缺点的工作也在顺利进行。最近有一个关于插件检查器的提案,类似于正在进行中的主题检查插件。
那么,我们从中学到什么?保持主题和插件更新,就像 WordPress 网站的其他部分一样。
登录漏洞
登录凭据是网站遭受成功黑客攻击的另一个因素。弱用户名和密码会带来严重的安全风险。它们很容易通过暴力攻击和撞库攻击而受到损害。
当发生类似的情况时,您的网站的最新程度或插件和主题的安全性并不重要。一旦有人完全访问您的网站,他们的操作就几乎没有限制。
举个例子,Sucuri 在 32.69% 的受感染网站中发现了恶意 WordPress 管理员用户。仅供娱乐,以下是他们最常使用的用户名和电子邮件。
另一方面,这是最受用户直接控制的部分之一。例如,WordPress 附带一个自动安全密码生成器。为什么不利用它呢?
但是,您需要对与您网站相关的其他帐户(例如托管和 FTP 凭据)执行相同的操作。此外,还有其他措施来保护您的登录页面,例如限制登录尝试和双因素身份验证。
托管安全统计
托管环境及其中的技术也在安全性方面发挥着作用,尤其是运行 WordPress 的 PHP 版本。例如,PHP 7 引入了比其前身 PHP 5 更好的安全功能。
另外,PHP 开发人员对其旧版本有相当严格的终止政策。在撰写本文时,8.0 之前的任何版本都不再获得支持或安全修复,因此最好避免长期使用。
在这里,WordPress 看起来不太好。虽然绝大多数 WordPress 网站至少运行在 PHP 7.0 上,其中近一半运行在 7.4 上,但只有略多于四分之一的网站使用积极支持的版本。
甚至有大约 6% 仍然在 PHP 5.x 版本上运行,该版本已经多年没有得到任何支持。因此,如果您还没有更新您的 PHP 版本,请更新它。
WordPress 安全统计简述
没有 CMS 是 100% 安全的,事实上,连接到网络的任何内容都不是 100% 安全的。然而,尽管您可能在其他地方听到过这样的说法,WordPress 的安全统计数据总体上非常好。是的,有些问题需要解决,但大多数问题正在积极解决。
如果您想进一步提高数字,您可以遵循以下最佳实践:
保持 WordPress 及其插件和主题更新
仅使用来自可靠来源的扩展
对与您网站相关的所有内容使用强密码和凭据
考虑使用防火墙和/或 CDN
限制登录尝试
使用 SSL 证书加密您网站上的流量,包括仪表板
选择一个可以让您的 PHP 版本保持最新的主机
如果您遵循这些,那么至少您自己的 WordPress 网站应该拥有积极的安全统计数据。
猜你还喜欢
- 06-04 [站长技术] 如何开启WordPress Multisite多站点网络
- 03-29 [环境测试] Hexo部署GitHub Pages
- 03-22 [源码设置] 如何设置Xiuno BBS URL-Rewrite(伪静态设定)
- 03-06 [建站交流] PicGo + smms 构建图床
- 11-18 [emlog技巧] Emlog非插件显示评论者IP属地
- 11-09 [网站维护] WordPress 后台速度慢?加快仪表板速度的 15 种方法
- 11-09 [WordPress插件] 10 个最好用的 WordPress 聊天机器人插件(免费和付费)
- 11-09 [WordPress开发] 探索 WordPress 6.3 中的增强样板(Patterns)
- 11-09 [网站维护] 无需插件即可优化 WordPress 速度的 12 种策略
- 11-09 [网站安全] WordPress 安全统计:WordPress 到底有多安全?
- 09-20 [jsp技术] JSP ssm 特殊人群防走失系统myeclipse开发mysql数据库springMVC模式java编程计算机网页设计
- 09-15 [Lightsail容器] AWS Lightsail VPS:一种在云中运行容器的简单方法
取消回复欢迎 你 发表评论:
- 精品推荐!
-
- 最新文章
- 热门文章
- 热评文章
[电视剧] 灵魂摆渡(1-3季合集)【未删减】【4K.无水印】【剧情/恐怖/惊悚】【豆瓣8.7】
[资料] 【郑强】各大院校演讲完整版(全集)
[系统技巧] windows中,端口查看 关闭进程及Kill使用
[系统教程] Windows系统Git安装教程(详解Git安装过程)
[攻略教程] 《光遇》9.6每日任务怎么做
[攻略教程] 《光遇》9.6季节蜡烛怎么获取
[攻略教程] 《原神》5.0妙影在手任务通关攻略分享
[攻略教程] 《原神》嘿你的信任务通关步骤一览
[攻略教程] 《光遇》9.6雪糕代币怎么获取
[攻略教程] 《金铲铲之战》诅咒卡尔玛阵容搭配技巧分享
[文件编辑] WinHex 21.2 SR-2_x86_x64 绿色单文件版
[图片浏览] 2345看图王去广告安装版 x86 x64 11.3.0.10165
[电影] 死侍与金刚狼 DeadPool.And.Wolverine.2024.V4.2160p [MP4]
[动画] [BT下载][机动战士高达SEED FREEDOM][WEB-MKV/6.97GB][简繁双语特效字幕][1080P][流媒体][SONYHD小组作品]
[游戏] 《黑神话悟空》免安装学习版【全dlc整合完整版】+Steam游戏解锁+游戏修改工具!
[Android] 阅读APP(小说软件)v3.23.032021 解除限制版
[涨点姿势] 男性性技宝典:14招实战驭女术——爱抚、按摩、催情、姿势、高潮全攻略
[电影] [BT下载][蜘蛛夫人:超感觉醒][WEB-MKV/1.77GB][国英多音轨/中文字幕][1080P][流媒体][BATWEB小组作品]
[福利] 小水熙性感舞蹈直播录像 超清画质
[动画] [BT下载][功夫熊猫4][BD-MKV/22.80GB][国粤英多音轨/简繁英字幕][4K-2160P][HDR+杜比视界双版本][H265编码][蓝光压制][CTRLHD小
[影视] 噬血芭蕾 WEB-DL版下载/血滴姬(港)/阿比盖尔 2024 Abigail 19.32G
[影视] 母亲的直觉 WEB-DL版下载/亡命母侵 美版/母性本能 2024 Mothers’ Instinct 10.58G
[影视] 九龙城寨之围城 WEB-DL版下载/九龙城寨 / Twilight of the Warriors: Walled In 2024 九龍城寨·圍城 22.68G
[影视] 我们一起摇太阳 WEB-DL版下载/Viva La Vida/人生大事2/人间喜事/永生花 2024 我们一起摇太阳 24.46G
[资源] 精整2023年知识星球付费文合集136篇【PDF格式】
[文件编辑] WinHex 21.2 SR-2_x86_x64 绿色单文件版
[图片浏览] 2345看图王去广告安装版 x86 x64 11.3.0.10165
[瓜] 青岛【路虎女】插队、逆行、追尾、打人未删减【完整版视频】
[电视剧] 灵魂摆渡(1-3季合集)【未删减】【4K.无水印】【剧情/恐怖/惊悚】【豆瓣8.7】
[影视] 美国内战 4K蓝光原盘下载+高清MKV版/内战/帝国浩劫:美国内战(台)/美帝崩裂(港) 2024 Civil War 63.86G
- 最新评论
- 热门tag