2022 年の WordPress セキュリティ調査結果
公開: 2022-09-06最近、WordPress のセキュリティの状態をよりよく理解するための調査を実施しました。 この調査は誰でも参加でき、WordPress のセキュリティ関連の質問がいくつか含まれていました。 このレポートでは、調査結果について詳しく説明します。
なぜこの調査を?
WordPress のセキュリティは、多くの管理者や Web サイト所有者にとって重要なトピックです。 そのオープンで反復的な性質のために、あなたの努力が十分に行き届いているかどうか、またはさらなる注意と開発が必要な領域があるかどうかを理解することは必ずしも容易ではありません. これは、WordPress Web サイトの管理でよくあることですが、複数のことを一度にジャグリングする場合に特に当てはまります。
この目的のために、WordPress のセキュリティ状態のスナップショットを取得しようとしました。 この調査はすべての側面を網羅しているわけではありませんが、WordPress の一般的なセキュリティの全体像を把握するには十分です.
WordPress のセキュリティはあなたにとってどれほど重要ですか?
最初の質問では、WordPress 管理者と Web サイト所有者にとっての WordPress セキュリティの重要性について調べました。 当然のことながら、回答者の大多数が WordPress のセキュリティを不可欠なものと考えています。 実際、回答者の 96% が WordPress のセキュリティを非常に重要であると考えており、4% の回答者がある程度重要であると考えています.
大多数が WordPress のセキュリティを非常に重要視していますが、WordPress のセキュリティ保護に費やす時間はかなり異なります。 次にこれらの数値を見ていきます。
セキュリティ タスクに費やした合計時間
管理者のかなりの割合がセキュリティ タスクに毎月 1 ~ 3 時間を費やしており、回答者の 35% は 3 時間以上を費やしています。 22% は月に 1 時間未満しか費やしていません。 これは少数派ですが、全回答者のかなりの割合を占めています。
ここで重要なことの 1 つは、セキュリティ タスクに費やされる時間は時間の経過とともに変化する傾向があるということです。 通常、初期設定にはかなりの時間が費やされます。 すべてが稼働状態になると、通常、セキュリティ関連のタスクに費やす時間が少なくなり、継続的なメンテナンスをカバーするのに十分な月に数時間かかります。 Web サイトのサイズと複雑さも、費やされる時間に大きく影響します。
WordPress の強化とベストプラクティス
WordPress の強化は、WordPress Web サイトの攻撃面を減らすことを目的としたベスト プラクティス プロセスです。 強化作業に何が入るかを定義する、合意された標準はありません。 ただし、これには通常、REST API の制限やファイル エディターの無効化などのアクティビティが含まれます。
回答者に、そのような WordPress のセキュリティ強化作業を実施したことがあるかどうかを尋ねたところ、圧倒的多数 (85%) が実施したと答えました。 28% が手動で WordPress Web サイトを強化し、26% がプラグインまたはサービスを使用しました。 31% がプラグインを使用し、手動プロセスを実行しました。 回答者のわずか 15% だけが強化作業を行っていませんでした。
更新とテスト
更新は、WordPress のセキュリティのもう 1 つの重要な側面です。 WordPress 自体は、プラグインやテーマと同様に、定期的に更新されます。少なくとも更新は必要です。 これらの更新には、現在の (インストールされている) バージョンに存在するバグやセキュリティ ホールの修正が含まれていることが多いため、これらの更新の管理は不可欠です。
回答者の 52% は、WordPress、プラグイン、およびテーマを含むコンポーネントの自動更新を有効にしていますが、48% は自動更新を有効にしていません。 もちろん、自動更新を有効にしないことが必ずしもセキュリティ リスクになるとは限りません。多くの管理者は更新を実際の環境にロールアウトする前にテストすることを選択するからです。
実際、回答者の 25% は常にテスト環境またはステージング環境で更新プログラムをテストしていますが、26% は主要な更新プログラムのみをテストしています。 さらに、調査対象の管理者の 32% は時々更新をテストしますが、17% は更新が Web サイトに与える影響に関係なく、更新をまったくテストしません。
戦略を更新する
WordPress の自動更新と更新テストの両方にメリットがありますが、使用する戦略は環境によって異なる場合があります。 重要な e コマース Web サイトでは、更新をロールアウトする前にテストする必要がある場合があります。停止は収益の損失を意味する可能性があるためです。 一方、できるだけ手を離したいウェブサイトの所有者は、自動更新をオンにして、それほど積極的に管理する必要なく、ウェブサイトを安全に保つことができます.
そのため、更新に関して管理者が採用する全体的な戦略を見るのは興味深いと思いました.
| 自動更新とテスト | パーセンテージ |
|---|---|
| 自動更新が有効で、時々更新をテストします | 19 |
| 自動更新を無効にし、常に更新をテストします | 16 |
| 自動更新を無効にし、主要な更新のみをテストします | 15 |
| 自動更新を無効にし、時々更新をテストします | 13 |
| 自動更新が有効で、更新をテストしない | 13 |
| 自動更新が有効で、主要な更新のみをテストします | 11 |
| 自動更新が有効で、常に更新をテストします | 9 |
| 自動更新を無効にし、更新をテストしません | 4 |
大多数の人は何らかの形式の自動更新を有効にしていますが、多くの管理者は更新を実際の環境に展開する前に何らかの形式のテストを実行しています。 実際、全回答者の 17% だけがアップデートをテストしていません。
セキュリティプラグインの使用
調査の参加者は、セキュリティ プラグインの使用についても尋ねられました。 特に、ファイアウォール、2FA、WordPress アクティビティ ログ、およびパスワード セキュリティ プラグインに重点が置かれました。
回答者の大多数は、環境にファイアウォール プラグインをインストールしており、81% が 1 つまたは複数のプラグインをインストールしていると述べています。 逆に、19% はファイアウォール プラグインがインストールされていません。
Microsoft や Google などの企業がこのより安全な WordPress へのログイン方法を支持しているにもかかわらず、2FA はファイアウォールほど普及していません。 実際、Web サイトで 2FA を使用しているのは回答者の 64% のみで、36% は使用していません。
アクティビティ ログ プラグインは 2FA プラグインと同じくらい人気があり、回答者の 65% が使用しています。
パスワードのセキュリティに関しては、回答者の 38% が、ユーザーが安全な WordPress パスワードを使用することを信頼しています。 一方、40% が WordPress パスワード セキュリティ プラグインを使用しており、22% が使用を検討しています。
トッププラグイン
| 上位 3 つのファイアウォール プラグイン | 上位 3 つの 2FA プラグイン | 上位 3 つのアクティビティ ログ プラグイン |
|---|---|---|
| ワードフェンス - 49% | ワードフェンス - 25% | WP アクティビティ ログ - 42% |
| スクリ - 7% | WP 2FA - 22% | 簡単な歴史 - 7% |
| iThemes セキュリティ - 2.5% | iテーマ - 2.5% | アクティビティ ログ - 7% |
結論を導き出し、前進する方法
この結果は、WordPress のセキュリティに対する強い関心を示しており、心強いものです。 同様に、多くの管理者や Web サイトの所有者は、Web サイトの安全性を確保するための措置を講じています。 それでも、まだいくつかの作業を行う必要があります。
2FA は、何らかの形でかなり前から存在していますが、まだ追いつく必要があります。 ファイアウォール プラグインは引き続き非常に人気がありますが、WordPress Web サイトを資格情報の侵害から保護することはできません。 これにより、2FA プラグインは WordPress Web サイトの全体的なセキュリティにとって不可欠になります。
これは、WordPress 管理者と Web サイト所有者がセキュリティをどのように見ているかのスナップショットにすぎないと言わざるを得ません。 このアンケートの質問は、WordPress のセキュリティの基本をカバーしているだけであることに注意することも重要です。 ウェブサイトの保護に真剣に取り組んでいる場合は、WordPress のセキュリティに関するさまざまなトピックを取り上げているブログをフォローしてください。