WordPress 真的安全吗?这可能是许多新用户心中的一个问题,尤其是当他们听说这是一个开源项目时。那么,有没有关于 WordPress 安全性的统计数据可以提供答案呢?
事实上,是有的,在这篇文章中,我们试图就这个主题收集尽可能多的有意义的数字。下面,我们将检查有关 WordPress 核心、主题和插件、登录信息和托管环境安全性的行业报告和统计数据。
最后,我们希望您不仅对 WordPress 的安全状况有一个很好的了解,而且还准确地知道风险所在,以便您能够解决它们。
据统计,WordPress 是最受黑客攻击的目标
在谈论 WordPress 安全性时,第一个重要的数据点是 43%。据 W3Techs 称,这是运行 WordPress 的网站在全球范围内所占的份额。请注意,这不是其在内容管理系统中的市场份额(较高),而是在互联网上网站总数中的市场份额。
这是一个相当大的数字。这很重要,因为虽然对于 WordPress 粉丝来说这是值得自豪的事情,但它也有一个缺点——曝光。
WordPress 上运行的网站数量之多意味着该平台是黑客的主要目标。事实上,在Sucuri 的 2022 年威胁研究报告中,WordPress 网站占所有受感染网站的 96.2%。
听起来不太安全,是吗?
当你单独看到这样的统计数据时,你的第一个想法可能是 WordPress 确实存在安全问题。否则为什么它会占成功黑客攻击的绝大多数?
这就是为什么我们从第一个数字开始。WordPress 是一个更突出、更有利可图的目标。选择一种允许您尝试攻击数亿个网站的系统,而不是用户群小得多的系统,更加经济和高效。黑客显然也是这么想的。
坏消息是,他们常常成功。每年都有数十万个 WordPress 网站被成功黑客入侵。好消息是,正如您将在下面看到的,这并不是因为 WordPress 本质上不安全。事实上,许多成功的黑客攻击都是完全可以避免的。您只需要知道如何保护自己。
WordPress 核心漏洞统计
为了回答 WordPress 是否安全,我们先从 WordPress 核心软件的安全性统计数据开始。
大多数被黑的网站尚未更新
根据 Sucuri 报告,大多数被黑客入侵的 WordPress 网站都已过时。到 2022 年,超过一半的恶意软件感染者并未在最新版本的 WordPress 上运行。
这并不奇怪,一些旧版本的 CMS 存在已公开披露的众所周知的安全问题。因此,如果您继续在其中之一上运行您的网站,您只是在邀请某人利用它。
事实上,安全问题最多的WordPress版本都在4.0版本之前。从那时起,漏洞数量稳步减少。
Sucuri 的报告也反映了这一点。与之前的数字相比,由于未更新而被黑客攻击的 WordPress 网站比例有所下降。
事实上,在他们遇到的所有 CMS 中,由于版本过时,WordPress 的感染比例最低。
这种情况已经连续两年出现,WordPress 的份额在此期间略有下降。这是2021年的比较。
这是用户问题,而不是 WordPress 问题
那么,WordPress 用户保持网站更新的情况如何呢?嗯,很多人没有。以下是WordPress.org 跟踪的在野外网站上运行的 WordPress 版本。
正如您所看到的,只有大约 60%% 使用的是最新版本。然而,好消息是,至少绝大多数是在 WordPress 4.0 或更高版本上,其中漏洞情况变得更好。另外,四分之三已经更新到最新的主要版本,这比之前有所改进。2016年,这一比例仅为50%左右。
原因之一可能是5.6 版本中引入的自动更新。您不再需要依赖用户手动单击“更新”按钮。相反,网站可以自动安装新的 WordPress 版本,这显然促成了这一积极趋势。
WordPress 安全基础设施有效
尽管用户不愿意更新他们的网站,但 WordPress 核心的安全系统仍然做得很好。WordPress 安全团队可以快速发现并修补每个新 WordPress 版本中的问题。
2023 年,我们已经发布了三个安全版本,修复了 20-30 个潜在漏洞。仅WordPress 6.0.3就包含 16 个安全修复程序。2022 年该项目还发布了 4 个安全版本,总共解决了 26 个安全漏洞。
此外,这种警惕性还延伸到了生态系统的其他部分。Elementor 遇到了一个严重漏洞,并很快得到了修补,Ninja Forms 收到了 WordPress.org 的强制更新,BackupBuddy 也修补了一个高严重性安全漏洞,并将更新版本推送给用户。
因此,虽然 WordPress 与其他软件一样存在安全问题,但它具有可以快速响应这些问题的故障保护机制。仍然存在的最大障碍之一是让用户应用这些解决方案。
WordPress 主题和插件安全统计
作为最流行的 CMS,WordPress 附带了大量扩展,其中许多扩展是免费的。截至撰写本文时,仅 WordPress 目录中就有近60,000 个插件,以及11,000 多个主题。
这甚至没有算上网络其他部分提供的数千个其他插件(通常作为高级解决方案)。这就是 WordPress 的一个很酷的地方,无论您在寻找什么,很可能已经有一个解决方案。
同时,您在站点上安装的每个扩展都是攻击者的潜在入口点。主题和插件是各个开发人员的责任。它们没有像 WordPress 核心那样经过严格的测试,因此更有可能包含安全漏洞。此外,有时开发人员只是停止支持他们的工作,而这些工作就变得过时了。
因此,它们在 WordPress 安全统计中发挥重要作用并不奇怪,尤其是插件。事实上,根据 WPScan.com 的说法,它们包含绝大多数 WordPress 漏洞。
Patchstack也得到了类似的数字。
显然,特别是免费的插件是一个问题。Sucuri 报告称,付费主题和插件占所有第三方漏洞的 8.62%,而免费扩展占 91.38%。
这里也存在一个常见问题,即网站所有者使用具有已知安全问题的过时版本。Sucuri 进一步报告称,36% 的受感染网站在修复时至少存在一个易受攻击的插件或主题。
流行的扩展是大多数黑客攻击的原因
哪些插件和主题引起问题的分布也很有趣。据 Sucuri 称,最常检测到的易受攻击的组件包括过时版本的 Contact Form 7 (27.44%)、Freemius Library (20.85%) 和 WooCommerce (14.51%)。还有其他一些。
那么,如果这些插件在安全方面做得如此糟糕,为什么我们仍然允许它们存在呢?在这里,同样的事情也适用于一般的 WordPress。不一定是这些插件更不安全,它们只是非常流行。仅 Contact Form 7 就有超过 500 万次安装。
另外,一旦安全问题出名,这些开发人员实际上在解决安全问题方面做得很好。仅当用户不应用它们时才会出现问题。此外,解决插件缺点的工作也在顺利进行。最近有一个关于插件检查器的提案,类似于正在进行中的主题检查插件。
那么,我们从中学到什么?保持主题和插件更新,就像 WordPress 网站的其他部分一样。
登录漏洞
登录凭据是网站遭受成功黑客攻击的另一个因素。弱用户名和密码会带来严重的安全风险。它们很容易通过暴力攻击和撞库攻击而受到损害。
当发生类似的情况时,您的网站的最新程度或插件和主题的安全性并不重要。一旦有人完全访问您的网站,他们的操作就几乎没有限制。
举个例子,Sucuri 在 32.69% 的受感染网站中发现了恶意 WordPress 管理员用户。仅供娱乐,以下是他们最常使用的用户名和电子邮件。
另一方面,这是最受用户直接控制的部分之一。例如,WordPress 附带一个自动安全密码生成器。为什么不利用它呢?
但是,您需要对与您网站相关的其他帐户(例如托管和 FTP 凭据)执行相同的操作。此外,还有其他措施来保护您的登录页面,例如限制登录尝试和双因素身份验证。
托管安全统计
托管环境及其中的技术也在安全性方面发挥着作用,尤其是运行 WordPress 的 PHP 版本。例如,PHP 7 引入了比其前身 PHP 5 更好的安全功能。
另外,PHP 开发人员对其旧版本有相当严格的终止政策。在撰写本文时,8.0 之前的任何版本都不再获得支持或安全修复,因此最好避免长期使用。
在这里,WordPress 看起来不太好。虽然绝大多数 WordPress 网站至少运行在 PHP 7.0 上,其中近一半运行在 7.4 上,但只有略多于四分之一的网站使用积极支持的版本。
甚至有大约 6% 仍然在 PHP 5.x 版本上运行,该版本已经多年没有得到任何支持。因此,如果您还没有更新您的 PHP 版本,请更新它。
WordPress 安全统计简述
没有 CMS 是 100% 安全的,事实上,连接到网络的任何内容都不是 100% 安全的。然而,尽管您可能在其他地方听到过这样的说法,WordPress 的安全统计数据总体上非常好。是的,有些问题需要解决,但大多数问题正在积极解决。
如果您想进一步提高数字,您可以遵循以下最佳实践:
- 保持 WordPress 及其插件和主题更新
- 仅使用来自可靠来源的扩展
- 对与您网站相关的所有内容使用强密码和凭据
- 考虑使用防火墙和/或 CDN
- 限制登录尝试
- 使用 SSL 证书加密您网站上的流量,包括仪表板
- 选择一个可以让您的 PHP 版本保持最新的主机
如果您遵循这些,那么至少您自己的 WordPress 网站应该拥有积极的安全统计数据。