워드프레스 보안 설문조사 결과 2022
게시 됨: 2022-09-06우리는 최근 WordPress 보안 상태를 더 잘 이해하기 위해 설문 조사를 실행했습니다. 설문 조사는 모든 사람에게 공개되었으며 몇 가지 WordPress 보안 관련 질문이 포함되었습니다. 이 보고서는 우리의 연구 결과를 자세히 설명합니다.
왜 이 설문조사를 합니까?
WordPress 보안은 많은 관리자와 웹 사이트 소유자의 마음에 필수적인 주제입니다. 개방적이고 반복적인 성격으로 인해 귀하의 노력이 충분한지 또는 더 많은 관심과 개발이 필요한 영역이 있는지 이해하는 것이 항상 쉬운 것은 아닙니다. WordPress 웹 사이트를 관리하는 경우와 같이 한 번에 여러 가지를 저글링할 때 특히 그렇습니다.
이를 위해 WordPress 보안 상태에 대한 스냅샷을 얻으려고 했습니다. 설문조사가 모든 측면을 다루지는 않지만 일반적인 WordPress 보안에 대한 전반적인 그림을 제공하기에 충분합니다.
WordPress 보안은 당신에게 얼마나 중요합니까?
우리가 질문한 첫 번째 질문은 WordPress 관리자와 웹사이트 소유자에게 WordPress 보안의 중요성을 살펴보았습니다. 당연히 대다수의 응답자가 WordPress 보안을 필수 요소로 생각합니다. 실제로 응답자의 96%는 WordPress 보안이 매우 중요하다고 생각하는 반면 응답자의 4%는 다소 중요하다고 생각합니다.
대다수가 WordPress 보안을 매우 중요하게 생각하지만 WordPress 보안에 소요되는 시간은 상당히 다양합니다. 다음에는 이 수치를 살펴보겠습니다.
보안 작업에 소요된 총 시간
더 많은 비율의 관리자가 보안 작업에 한 달에 1~3시간을 소비하는 반면 응답자의 35%는 3시간 이상을 보냅니다. 22%는 한 달에 1시간 미만을 보냅니다. 이것은 소수이지만 여전히 전체 응답자의 상당한 비율을 나타냅니다.
여기서 중요한 점은 보안 작업에 소요되는 시간이 시간이 지남에 따라 변한다는 것입니다. 일반적으로 초기 설정 동안 상당한 시간이 소요됩니다. 모든 것이 가동되고 실행되면 일반적으로 지속적인 유지 관리를 처리하기에 충분한 한 달에 몇 시간으로 보안 관련 작업에 소요되는 시간이 줄어듭니다. 웹 사이트의 크기와 복잡성도 시간을 얼마나 소비하는지에 상당한 역할을 할 수 있습니다.
WordPress 강화 및 모범 사례
WordPress 강화는 WordPress 웹 사이트의 공격 표면을 줄이는 것을 목표로 하는 모범 사례 프로세스입니다. 어떤 합의된 표준도 강화 작업에 들어가는 것을 정의하지 않습니다. 그러나 여기에는 일반적으로 REST API 제한 및 파일 편집기 비활성화와 같은 활동이 포함됩니다.
응답자에게 WordPress 보안 강화 운동을 한 적이 있는지 물었을 때 대다수(85%)가 경험했다고 답했습니다. 28%는 WordPress 웹사이트를 수동으로 강화했으며 26%는 플러그인 또는 서비스를 사용했습니다. 31%는 플러그인을 사용하고 수동 프로세스를 수행했습니다. 응답자의 15%만이 강화 운동을 하지 않았습니다.
업데이트 및 테스트
업데이트는 WordPress 보안의 또 다른 중요한 측면입니다. WordPress 자체는 물론 플러그인과 테마도 정기적으로 업데이트를 받거나 적어도 그래야 합니다. 이러한 업데이트를 관리하는 것은 현재(설치된) 버전에 존재하는 버그 및 보안 허점에 대한 수정 사항을 포함하는 경우가 많기 때문에 필수적입니다.
응답자의 52%는 WordPress, 플러그인 및 테마가 포함된 구성 요소에 대해 자동 업데이트를 활성화했으며 48%는 자동 업데이트를 활성화하지 않았습니다. 물론 많은 관리자가 업데이트를 실제 환경에 배포하기 전에 테스트를 선택하기 때문에 자동 업데이트를 활성화하지 않는 것이 반드시 보안 위험은 아닙니다.
실제로 응답자의 25%는 항상 테스트 또는 준비 환경에서 업데이트를 테스트하는 반면 26%는 주요 업데이트만 테스트합니다. 또한 설문조사에 응한 관리자의 32%는 업데이트가 웹사이트에 미칠 수 있는 영향과 상관없이 업데이트를 테스트하지 않는 반면 17%는 업데이트를 테스트하지 않습니다.
업데이트 전략
WordPress 자동 업데이트와 업데이트 테스트 모두 장단점이 있지만 사용하는 전략은 환경에 따라 다를 수 있습니다. 중단이 수익 손실을 의미할 수 있으므로 위험이 큰 전자 상거래 웹 사이트는 업데이트를 배포하기 전에 테스트를 원할 수 있습니다. 반면에 가능한 한 손을 떼고 싶어하는 웹 사이트 소유자는 자동 업데이트를 켜서 웹 사이트를 적극적으로 관리하지 않고도 웹 사이트를 안전하게 유지할 수 있습니다.
따라서 업데이트와 관련하여 관리자가 사용하는 전체 전략을 보는 것이 흥미로울 것이라고 생각했습니다.
| 자동 업데이트 및 테스트 | 백분율 |
|---|---|
| 자동 업데이트 활성화 및 때때로 업데이트 테스트 | 19 |
| 자동 업데이트 비활성화 및 항상 업데이트 테스트 | 16 |
| 자동 업데이트가 비활성화되고 주요 업데이트만 테스트합니다. | 15 |
| 자동 업데이트 비활성화 및 때때로 업데이트 테스트 | 13 |
| 자동 업데이트가 활성화되고 업데이트를 테스트하지 않습니다. | 13 |
| 자동 업데이트 활성화 및 주요 업데이트만 테스트 | 11 |
| 자동 업데이트 활성화 및 항상 업데이트 테스트 | 9 |
| 자동 업데이트가 비활성화되고 업데이트를 테스트하지 않습니다. | 4 |
대부분의 사람들이 어떤 형태의 자동 업데이트를 활성화했지만 많은 관리자는 업데이트를 실제 환경에 배포하기 전에 여전히 몇 가지 형태의 테스트를 수행합니다. 실제로 전체 응답자의 17%만이 업데이트를 테스트하지 않습니다.
보안 플러그인 사용
설문 참가자들에게 보안 플러그인 사용에 대해서도 질문했습니다. 특히 방화벽, 2FA, WordPress 활동 로그 및 비밀번호 보안 플러그인에 중점을 두었습니다.
대다수의 응답자는 환경에 방화벽 플러그인이 설치되어 있으며 81%는 하나 이상의 방화벽이 설치되어 있다고 말했습니다. 반대로 19%는 방화벽 플러그인이 설치되어 있지 않습니다.
2FA는 Microsoft 및 Google과 같은 회사가 WordPress에 로그인하는 보다 안전한 방법을 지지함에도 불구하고 방화벽만큼 인기가 없습니다. 실제로 응답자의 64%만이 웹사이트에서 2FA를 사용하는 반면 36%는 사용하지 않습니다.
활동 로그 플러그인은 2FA 플러그인만큼 인기가 있으며 응답자의 65%가 하나를 사용하고 있습니다.
비밀번호 보안과 관련하여 응답자의 38%는 사용자가 안전한 WordPress 비밀번호를 사용한다고 신뢰합니다. 반면 40%는 WordPress 비밀번호 보안 플러그인을 사용하고 22%는 사용을 고려하고 있습니다.
인기 플러그인
| 상위 3개 방화벽 플러그인 | 상위 3개 2FA 플러그인 | 상위 3개 활동 로그 플러그인 |
|---|---|---|
| 워드펜스 - 49% | 워드펜스 - 25% | WP 활동 기록 - 42% |
| 수쿠리 - 7% | WP 2FA - 22% | 단순 기록 - 7% |
| iThemes 보안 - 2.5% | 아이테마 - 2.5% | 활동 기록 - 7% |
결론 도출 및 나아가야 할 방향
결과는 WordPress 보안에 대한 강한 관심을 보여주며 고무적입니다. 마찬가지로 많은 관리자와 웹 사이트 소유자는 웹 사이트의 보안을 위해 조치를 취하고 있습니다. 그러나 아직 몇 가지 작업이 필요합니다.
2FA는 어떤 형태로든 꽤 오랫동안 주변에 있었지만 여전히 따라잡아야 합니다. 방화벽 플러그인은 계속해서 엄청난 인기를 누리고 있으며 자격 증명 침해로부터 WordPress 웹 사이트를 보호할 수 없습니다. 따라서 2FA 플러그인은 WordPress 웹 사이트의 전반적인 보안에 필수적입니다.
이것은 WordPress 관리자와 웹 사이트 소유자가 보안을 보는 방식에 대한 스냅샷에 불과합니다. 또한 이 설문조사의 질문은 WordPress 보안의 기본 사항을 다루고 있다는 점에 유의하는 것이 중요합니다. 웹사이트 보호에 대해 진지하게 생각한다면 WordPress 보안에 대한 다양한 주제를 다루는 블로그를 팔로우하십시오.