Bezpieczeństwo WordPress oparte na faktach i statystykach

Opublikowany: 2022-12-12

WordPress jest częstym celem złośliwych hakerów ze względu na ogromną liczbę osób, które go używają. Według niektórych szacunków łączna liczba witryn WordPress w Internecie wynosi 455 milionów. Oznacza to, że WordPress obsługuje 43,1% wszystkich witryn internetowych.

Ciekawe statystyki

Ustalenie, ile witryn zostało zaatakowanych przez hakerów, jest trudne. Jest tego kilka powodów. Incydenty hakerskie są notorycznie zaniżane. O ile prawo nie nakazuje ujawnienia incydentów, wielu administratorów i właścicieli witryn niechętnie to robi. Wielu nie zdaje sobie sprawy, że padło ofiarą ataku hakerskiego, co uniemożliwia zgłoszenie.

Po usunięciu tych zastrzeżeń, IT Governance – dostawca rozwiązań do zarządzania ryzykiem cybernetycznym i prywatnością, zgłosił około 5,1 miliarda (czyli z B) naruszeń w samym 2021 roku. Liczba ta obejmuje wszystkie naruszenia. Patrząc na inny raport, tym razem Sophos, każdego dnia dochodzi do ataków hakerskich (średnio) na 30 000 stron internetowych. Odpowiada to 11 milionom ataków hakerskich na strony internetowe rocznie. Wiemy, że 43% wszystkich stron internetowych korzysta z WordPressa, co pozwala nam oszacować, że 4,7 miliona witryn WordPress jest atakowanych rocznie. To prawie 13 000 witryn WordPress atakowanych każdego dnia.

To bardzo duża liczba – co nasuwa pytanie, dlaczego WordPress jest tak często atakowany przez hakerów? Właśnie temu przyjrzymy się w tym artykule – w oparciu o fakty i statystyki.

WordPress – jak naprawdę jest bezpieczny?

WordPress to projekt typu open source, nad którym aktywnie pracuje wiele osób na całym świecie. Społeczność WordPressa jest bardzo silna i składa się z jednych z najmądrzejszych i najbardziej zaangażowanych ludzi, jakich kiedykolwiek spotkasz. Przy tak wielu zaangażowanych osobach, które nie zwracają uwagi na proces rozwoju, WordPress wydaje się być bardzo bezpieczny.

Siłą WordPressa może być również jego upadek, ponieważ statystyki pokażą nam, gdy zagłębimy się w sposób, w jaki strony internetowe WordPress są hakowane.

Największe mocne i słabe strony WordPressa

Żaden system nie jest doskonały i dotyczy to również rdzenia WordPress. Rdzeń WordPress reprezentuje podstawowe pliki przed wprowadzeniem jakichkolwiek zmian (takich jak wtyczki, motywy i konfiguracje). W rzeczywistości WordPress Core stanowił 0,58% wszystkich luk w zabezpieczeniach w 2021 r. – według raportu statystyk hakerskich WordPress firmy Sucuri. To nieco ponad połowa jednego procenta wszystkich incydentów.

Następne w kolejności są motywy i wtyczki – w tej kolejności. W rzeczywistości motywy stanowią 6,61% wszystkich luk, podczas gdy wtyczki stanowią aż 92,81%.

Sucuri dodatkowo dzieli motywy i wtyczki według tego, czy są bezpłatne, czy premium. Podczas gdy motywy i wtyczki premium stanowią 8,62% wszystkich luk w zabezpieczeniach stron trzecich, ich bezpłatne odpowiedniki stanowią 91,38%.

Dlaczego dobre wtyczki kosztują

Istnieje wiele powodów, dla których tak się dzieje. Wtyczki i motywy mają różne kształty i rozmiary – od renomowanych programistów po podejrzanych. Prawda jest taka, że ​​jeśli zrobi się to dobrze, tworzenie wtyczek nie jest tanie. Pełnoetatowi profesjonalni programiści muszą otrzymywać wynagrodzenie przy jednoczesnym utrzymaniu dobrej infrastruktury, a ośrodki testowe również generują rachunki.

Nie oznacza to, że wszystkie darmowe wtyczki stanowią zagrożenie dla bezpieczeństwa – wręcz przeciwnie. Wielu programistów poświęca swój wolny czas na tworzenie dobrej jakości darmowych wtyczek. Jeśli jednak potrzebujesz wtyczki, która jest szeroko testowana i obsługiwana, wtyczka premium jest prawdopodobnie najlepszym rozwiązaniem.

Podatności WordPress – liczby

Liczba znanych luk w zabezpieczeniach WordPressa rośnie z każdym rokiem. W rzeczywistości WPScan dodał 1437 nowych luk do swojej bazy danych i 514 rok wcześniej. Tylko w listopadzie 2022 roku dodano 64 nowe luki.

Biorąc pod uwagę dystrybucję podatności, którą omówiliśmy wcześniej, liczby te utrzymują się, patrząc na liczbę dostępnych wtyczek WordPress. Repozytorium WordPress.org zawiera listę ponad 60 000 wtyczek dostępnych w chwili pisania tego tekstu, a codziennie dodawane są kolejne. Wtyczki można również kupić bezpośrednio od programistów lub pobrać z nieoficjalnych źródeł.

Ze względu na stale zmieniający się krajobraz podatności na ataki WordPress ataki ukierunkowane są raczej wyjątkiem niż regułą. Ponieważ stare luki są łatane i wprowadzane są nowe, hakerom może być trudno nadążyć. Powoduje to również, że ataki ukierunkowane są bardzo czasochłonne, dlatego większość ataków jest zautomatyzowana.

Zautomatyzowane ataki wykorzystują narzędzie do automatycznego skanowania wielu stron internetowych, generując alerty za każdym razem, gdy zostanie wykryta luka. Z tego powodu większość ataków ma charakter masowy, a nie wynika z urazy. Ale jakich narzędzi używają hakerzy do takich zautomatyzowanych ataków? Dowiedzmy Się.

Jak hakowane są witryny WordPress

WordPress można zhakować na wiele różnych sposobów – hakerzy mogą być bardzo kreatywni w dążeniu do celów. To sprawia, że ​​niemożliwe i niebezpieczne jest wymienienie wszystkich sposobów, w jakie witryna WordPress może zostać zhakowana, ponieważ może to zapewnić fałszywe poczucie bezpieczeństwa. Możemy jednak przyjrzeć się jednemu przykładowi, który ilustruje proces, jaki haker może zwykle podjąć, aby zhakować witrynę WordPress.

WPScan – Skaner luk w zabezpieczeniach WordPress

wpscan
Interfejs WPScan: skanowanie bezpieczeństwa WordPress

Jednym z powszechnych narzędzi często używanych przez hakerów jest WPScan. Jest to bezpłatne narzędzie, które jest łatwo dostępne w Internecie. Jest to skaner podatności, który skanuje witryny WordPress i identyfikuje znane problemy oraz niezabezpieczone konfiguracje. Uruchamiając domyślne skanowanie bezpieczeństwa WordPress za pomocą WPScan, natychmiast dowiesz się:

  • Wersja WordPressa
  • Zainstalowane wtyczki, ich wersja i ścieżka, w której są zainstalowane
  • Zainstalowane motywy, ich wersja i ścieżka, w której są instalowane

WPScan zawiera inne funkcje, takie jak skanowanie wyliczania użytkowników WordPress. Skany te identyfikują i wyliczają wszystkich użytkowników zarejestrowanych w witrynie WordPress, dając hakerom wgląd w sposób działania WordPress. Uzbrojony w te informacje haker może następnie przeprowadzić dodatkowy atak, taki jak atak siłowy na hasło WordPress, aby uzyskać dostęp do twojego systemu.

W tym miejscu należy zauważyć, dlaczego bezpieczeństwo hasła WordPress jest tak ważne dla ogólnego bezpieczeństwa Twojej witryny WordPress. Słabe hasło sprawia, że ​​atak brute-force jest stosunkowo łatwy do przełamania. Równie ważne jest upewnienie się, że wszystkie konta używają silnych haseł. Zaatakowane konto współtwórcy może nie wyrządzić większych szkód, ale dzięki eskalacji uprawnień w zaatakowanej witrynie atakujący może uzyskać uprawnienia administratora i siać spustoszenie.

Dlaczego hakerzy hakują

Gdy przestępca uzyska dostęp do Twojej witryny WordPress, może podjąć kilka działań, takich jak:

  • Utwórz nowe konto z uprawnieniami administratora
  • Zresetuj hasło do istniejących kont, aby inni użytkownicy nie mogli odzyskać dostępu do swojego WordPressa
  • Zmień rolę istniejącego uśpionego konta
  • Zmień zawartość, aby wstrzyknąć złośliwy kod
  • Manipuluj plikami kodu źródłowego WordPress, aby dodać złośliwy kod, taki jak backdoory
  • Dodaj przekierowania w plikach htaccess

Ochrona WordPressa przed atakami

Jak widzieliśmy, źli aktorzy mogą przyjąć wiele podejść do włamania do witryny WordPress. Jest zatem zrozumiałe, że zabezpieczenie witryny WordPress wymaga bardziej holistycznego podejścia niż zwykłe zapewnienie użytkownikom hasła.

  • Badania – niezależnie od tego, czy szukasz dostawcy hostingu WordPress, czy nowej wtyczki, poświęć trochę czasu, aby je wcześniej sprawdzić. Fora mogą pomóc Ci szybko zorientować się, co klienci myślą o produktach lub usługach, podczas gdy wtyczki powinny mieć częste aktualizacje i doskonałą obsługę klienta.
  • Test – Wybór najlepszej wtyczki do WordPressa nie musi być zgadywanką. Większość renomowanych dostawców wtyczek oferuje bezpłatną wersję próbną swoich wtyczek premium. Pozwala to przetestować je przed zatwierdzeniem.

Po ustaleniu konfiguracji musisz upewnić się, że jest ona odpowiednio skonfigurowana, aby zapewnić maksymalne bezpieczeństwo. Konfiguracja bezpiecznego WordPressa nie jest jednorazową pracą, ale ciągłym procesem, który obejmuje:

  • Silne hasła – Silna polityka haseł WordPress może pomóc w zapewnieniu, że ataki typu brute-force skończą się, zanim zakończą się sukcesem. Używaj zdrowej kombinacji wielkich i małych liter, cyfr i znaków specjalnych. Ustaw także zasady wygasania haseł, aby zapewnić częstą zmianę haseł.
  • 2FA – 2FA, skrót od uwierzytelniania dwuskładnikowego, dodaje dodatkową warstwę uwierzytelniania do Twojego loginu WordPress. Podczas korzystania z 2FA, nawet jeśli atak brute force zakończy się sukcesem, bez dostępu do smartfona hakerzy nie będą mogli się zalogować.
  • Aktualizacja – Aktualizuj WordPress, wtyczki i motywy przez cały czas. Wdrażanie aktualizacji WordPressa można wykonać na różne sposoby, jak pokazuje ta ostatnia ankieta. Może to pomóc w zrównoważeniu wymagań administracyjnych i bezpieczeństwa bez wysiłku.
  • Monitoruj – Uważnie obserwuj aktywność użytkowników i systemu za pomocą wtyczki zabezpieczającej, takiej jak WP Activity Log. Pomoże to wcześnie zidentyfikować podejrzane zachowanie i zamknąć je, zanim wyrządzą szkody.

Nie jest to bynajmniej wyczerpująca lista, ale stanowi dobry punkt wyjścia. Bezpieczeństwo WordPress to ewoluujący temat, który wymaga ciągłego utrzymania. Obserwowanie bloga poświęconego bezpieczeństwu WordPress to jeden ze sposobów na bycie na bieżąco i coś, co możesz przeczytać, popijając poranną kawę.

Dbanie o bezpieczeństwo WordPressa

Bezpieczeństwo WordPress to cykl, a nie proces z początkiem i końcem. Wymaga ciągłej uwagi i dostosowywania, aby reagować na zmieniające się zagrożenia. Choć może się to wydawać zbyt dużym nakładem pracy, jak to często bywa, konserwacja jest lepsza niż naprawa. Poświęcając kilka godzin każdego miesiąca, możesz drastycznie zmniejszyć zagrożenia bezpieczeństwa, pomagając zapewnić dalszy rozwój witryny.