統計はWordPressの脆弱性の最大の原因を浮き彫りにしている

公開: 2020-10-08

毎年多くのWordPressサイトがハッキングされていることは誰もが知っています。 WordPressが安全でないシステムだからですか? それは世界的なWordPressの問題ですか、それともそれらのウェブマスターの行動から来ていますか? どのように、そしてなぜそれが起こっているのですか?

WordPressで個人のブログ、ビジネスWebサイト、またはeコマースサイトを運営している場合でも、Webサイトのセキュリティを優先する必要があります。 サイトのセキュリティが危険にさらされる理由はたくさんあります。 最も一般的な理由は、弱いパスワード、ユーザーの間違い、古いソフトウェア、セキュリティアップデートの欠落です。

この記事では、WPScan脆弱性データベースの最新の統計を使用して、最も脆弱なWordPressコンポーネントを強調し、最新のソフトウェアを実行して必要なセキュリティパッチをインストールすることの重要性を強調します。

また、WordPressの脆弱性に関するいくつかの興味深い統計と事実、およびいくつかの推奨事項を見つけることができます。 すぐに飛び込みましょう。

目次

  • WPScan脆弱性データベースとは何ですか?
  • WordPress、プラグイン、テーマの脆弱性の概要
    • なぜWordPressのコアの脆弱性が非常に多いのですか?
    • WordPressコア、プラグイン、テーマの脆弱性の種類
    • WordPressのコア脆弱性の統計
    • 最も脆弱なWordPressプラグイントップ10
    • 最も脆弱なWordPressテーマトップ10
  • これらのWordPressの脆弱性は私たちに何を教えていますか?
  • WordPressのセキュリティを確保する方法(セキュリティのベストプラクティス)

WPScan脆弱性データベースとは何ですか?

統計に飛び込む前に、これらの数値をどこから取得したかを説明しましょう。 すべてのデータは、WPScanのデータファイルのオンラインで閲覧可能なバージョンであるWPScan脆弱性データベースから取得されます。

WPScanは、オープンソースの自動化されたWordPressブラックボックスセキュリティスキャナーです。 このスキャナーは、このデータを使用して、WordPress Webサイトの既知のWordPressコア、プラグイン、およびテーマの脆弱性を検出します。

現在までに、WPScan脆弱性データベースには21,755の脆弱性が含まれており、そのうち4,154が固有の脆弱性です。

WordPress、プラグイン、テーマの脆弱性の概要

WPScan Vulnerability Databaseによると、彼らが記録した既知の脆弱性の約80%はWordPressコアソフトウェアにあります。 しかし、ここにキッカーがあります。最も脆弱性の高いバージョンは、WordPress3.Xに戻っています。

これまでのところ、WPScan脆弱性データベースには17,467のWordPressコアソフトウェアの脆弱性があります。 次に、3,846(17%)のWordPressプラグインの脆弱性と、442(3%)のWordPressテーマの脆弱性があります。

WPScan脆弱性データベースのWordPressコアソフトウェアの脆弱性。

なぜWordPressのコアの脆弱性が非常に多いのですか?

WordPressのバージョンが多いため、WordPressコアの脆弱性の数は脆弱性データベースで膨らんでいます。 以下は、これが発生する理由の説明です。

クロスサイトスクリプティングの脆弱性は、WordPressバージョン5.4.2のコンポーネントにあります。 このコンポーネントは、バージョン3.7以降のWordPressで使用されています。 したがって、以前にリリースされたすべてのバージョンのWordPressも脆弱です。

したがって、WPScan脆弱性データベースには、1つの固有の脆弱性と256の脆弱性があります。

したがって、WordPressコア自体は安全ではありません。 WordPressコアは非常に長い道のりを歩んできたこと、そしてこれまでよりもはるかに優れた安全なソフトウェアであることを指摘することは非常に重要です。

WordPressコア、プラグイン、テーマの脆弱性の種類

WordPressコア、プラグイン、テーマで最も一般的な脆弱性の種類は、クロスサイトスクリプティングとSQLインジェクションです。

これらの2つの脆弱性が、開始以来、最も一般的なWebセキュリティ問題のOWASPトップ10リストにリストされていることを考えると、これは驚くべきことではありません。

脆弱性の種類

WordPressのコア脆弱性の統計

以下のグラフは、最も脆弱なWordPressコアバージョンのトップ10を示しており、バージョン3.7.1と3.8.1がそれぞれ92の脆弱性でパックをリードしています。 第二に、91の脆弱性があるのはWordPressバージョン3.9です。

WordPressのコア脆弱性トップ10

しかし、それ以来、WordPressは間違いなくより安全になっています。 WordPressの最後の5つのバージョンの脆弱性の数を見てみましょう。 ご覧のとおり、違いはかなり大きいです。

WordPressの最新バージョンの脆弱性の概要

最も脆弱なWordPressプラグイントップ10

最も脆弱なWordPressプラグインのトップ10に関するいくつかの事実は次のとおりです。

NextGEN Gallery、NinjaForms、WooCommerceは、それぞれ22の脆弱性でパックをリードしています。

最も脆弱なプラグイントップ10

最も脆弱なWordPressプラグインのトップ10にWordPressセキュリティプラグインであるAllIn One WP Security&Firewallを見て驚いた。 私はそのようなプラグインが防弾であると言っているのではありません。 ただし、セキュリティ担当者が作成したプラグインの脆弱性は少ないか、少なくともトップ10リストには含まれないと思います。

最も脆弱なWordPressテーマトップ10

以下のグラフは、最も脆弱なWordPressテーマのトップ10を示しています。 最も高いものには、その名前で5つの脆弱性しかありません。

WordPressで最も脆弱なテーマトップ10

テーマは、機能の面ではるかに少ないため、プラグインよりもはるかに脆弱性が少ない傾向があります。 たとえば、ほとんどのプラグインはデータ、ユーザー入力を処理し、ユーザーデータを操作しますが、テーマは主にWordPressWebサイトのルックアンドフィールを変更します。

これらのWordPressの脆弱性は私たちに何を教えていますか?

利用可能なプラグインとテーマの膨大な配列のために、人々はWordPressを愛しています。 これを書いている時点で、WordPressリポジトリには57,000を超えるプラグインと7,000を超えるテーマがあり、さらに何千ものプレミアムプラグインがWeb全体に散在しています。

これらのオプションはすべてサイトを改善するのに最適ですが、WordPress Webサイトにプラグインまたはテーマをインストールする前に、常に少し調査する必要があります。 ほとんどのWordPress開発者は、コード標準に従い、報告されたセキュリティ問題が判明したらパッチを適用するという優れた仕事をしていますが、まだいくつかの潜在的な問題があります。

  • プラグインまたはテーマは維持されなくなりました。
  • 開発者はセキュリティパッチを発行するのに長い時間がかかるか、応答しません。
  • ただし、プラグインまたはテーマには脆弱性がありますが、脆弱性が検出されないという注意はあまりありません。

このテーマの詳細と、プラグインがWordPress Webサイトに適しているかどうかを判断する方法については、要件に最適なWordPressプラグインを選択する方法を参照してください。

それで、持ち帰りは何ですか?

つまり、すべてのソフトウェアを最新の状態に保ちます。

WordPressは世界で最も人気のあるCMSの1つであり、セキュリティのベストプラクティスに従い、最新の状態に保つと、Webサイトで問題が発生する可能性はほとんどありません。

これらのWordPressの脆弱性の統計は正確ですか?

これらの統計は、WPScan脆弱性データベースに保存されている情報に基づいています。 頻繁に更新されますが、完全ではありません。

ここにリストされていない他の多くの脆弱なWordPressプラグインとテーマがあります。 ただし、これにより、WordPressの脆弱性の状態の概要がわかります。

既知のWordPressの脆弱性を送信する

WPScanチームは、WordPressのコア、プラグイン、またはテーマの脆弱性を知っているすべての人に詳細を送信することをお勧めします。

新しい脆弱性を送信する前に、データベースを検索して、問題が以前に送信されていないことを確認してください。 これにより、一元化された信頼できる情報源が1つ確保されます。

WordPressのセキュリティを確保する方法(セキュリティのベストプラクティス)

すべての潜在的および既知の脆弱性をカバーしたので、Webサイトを保護するためのさまざまな方法を見てみましょう。

まず、WordPressのバージョンを定期的に更新することです。 WordPressのバージョンを更新する方法を確実に開発する必要があります。また、プラグインとテーマを更新することを忘れないでください。

WordPressWebサイトを保護するために実行できる追加のアクションは次のとおりです。

  • 共通のパスワードの使用は避けてください

強力なパスワードを使用している場合、ハッキングの試みを回避するか、少なくとも遅らせることができます。

  • 二要素認証ログインを設定する

WordPress Webサイトにログインしたい人は、アカウントにアクセスする前にもう1つの手順を実行する必要があります。

  • nullのプラグインとテーマを使用しないでください

ほとんどすべての人を誘惑しますが、プレミアムプラグインとテーマのこれらの無料コピーには、悪意のあるマルウェアがロードされることがよくあります。 プレミアムエディションを購入して、使用するプラグインの開発者をサポートします。 製品をさらに開発し、新しい機能を追加し、安全に保つのに役立ちます。

  • WordPressセキュリティプラグインを使用する

今日では、さまざまな攻撃からWebサイトを保護するために作成された多種多様なセキュリティプラグインがあります。 最高のものは定期的に更新されるため、ハッキングの試みやコードへの追加を検出できます。 私たちは、WordPressのセキュリティおよびサイト管理プラグインを数多く開発しています。 それらをチェックしてください!

まとめる

あなたのウェブサイトを保護することは非常に重要です。 潜在的な攻撃に対処するために使用できる脅威とツールを明確に把握することが重要です。 あなたの最優先事項は、安全なウェブサイトを持って維持することです。

その人気の結果として、WordPressはハッカーの大きな標的です。 そのため、サイトの安全性を確保するために1マイル余分に移動する必要があります。 安全なサイトは確かにあなたの潜在的な顧客への信頼を組み込み、それ故にあなたのビジネスの成長を助けます。

あなたのウェブサイトを保護し、安全を保ちましょう!