Wyniki ankiety dotyczącej bezpieczeństwa WordPress 2022
Opublikowany: 2022-09-06Niedawno przeprowadziliśmy ankietę, aby lepiej zrozumieć stan bezpieczeństwa WordPressa. Ankieta była otwarta dla wszystkich i zawierała kilka pytań związanych z bezpieczeństwem WordPressa. Ten raport zawiera szczegółowe informacje na temat naszych ustaleń.
Dlaczego ta ankieta?
Bezpieczeństwo WordPressa to kluczowy temat w umysłach wielu administratorów i właścicieli witryn. Ze względu na jego otwarty i iteracyjny charakter, nie zawsze łatwo jest zrozumieć, czy twoje wysiłki idą wystarczająco daleko, czy są obszary wymagające dalszej uwagi i rozwoju. Jest to szczególnie ważne podczas żonglowania wieloma rzeczami naraz – jak to często bywa w przypadku zarządzania witrynami WordPress.
W tym celu staraliśmy się uzyskać migawkę stanu bezpieczeństwa WordPressa. Chociaż ankieta nie obejmuje wszystkich aspektów, wciąż wystarczy, aby przedstawić ogólny obraz ogólnego bezpieczeństwa WordPressa.
Jak ważne jest dla Ciebie bezpieczeństwo WordPress?
Pierwsze pytanie, które zadaliśmy, dotyczyło znaczenia bezpieczeństwa WordPressa dla administratorów WordPressa i właścicieli witryn. Nic dziwnego, że zdecydowana większość respondentów uważa, że bezpieczeństwo WordPressa jest niezbędne. W rzeczywistości 96% respondentów uważa, że bezpieczeństwo WordPressa jest bardzo ważne, podczas gdy 4% respondentów uważa je za nieco ważne.
Chociaż zdecydowana większość uważa, że bezpieczeństwo WordPressa jest bardzo ważne, ilość czasu poświęcanego na zabezpieczenie WordPressa znacznie się różni. Następnie przyjrzymy się tym liczbom.
Całkowity czas poświęcony na zadania związane z bezpieczeństwem
Znaczny odsetek administratorów spędza od jednej do trzech godzin miesięcznie na zadania związane z bezpieczeństwem, podczas gdy 35% respondentów spędza ponad trzy godziny. 22% spędza mniej niż godzinę miesięcznie. Choć jest to mniejszość, nadal stanowi znaczny odsetek wszystkich respondentów.
Ważną rzeczą jest to, że czas spędzony na zadaniach bezpieczeństwa zmienia się w czasie. Zazwyczaj podczas początkowej konfiguracji poświęca się dużo czasu. Gdy wszystko jest już gotowe do pracy, na zadania związane z bezpieczeństwem zwykle poświęca się mniej czasu, a kilka godzin miesięcznie wystarcza na pokrycie bieżącej konserwacji. Rozmiar i złożoność stron internetowych mogą również odgrywać znaczącą rolę w ilości spędzanego czasu.
Utwardzanie WordPressa i najlepsze praktyki
Wzmacnianie WordPress to proces najlepszych praktyk, który ma na celu zmniejszenie powierzchni ataku witryn WordPress. Żaden uzgodniony standard nie określa, co wchodzi w skład hartowania; zazwyczaj wiąże się to jednak między innymi z działaniami, takimi jak ograniczanie interfejsu API REST i wyłączanie edytora plików.
Kiedy zapytaliśmy respondentów, czy kiedykolwiek podjęli takie ćwiczenie wzmacniania bezpieczeństwa WordPress, zdecydowana większość – 85% odpowiedziało, że tak. 28% ręcznie wzmocniło swoją witrynę WordPress, a 26% korzystało z wtyczki lub usługi. 31% korzystało z wtyczki i przeprowadzało ręczne procesy. Tylko 15% badanych nie podjęło żadnych ćwiczeń hartowniczych.
Aktualizacje i testy
Aktualizacje to kolejny krytyczny aspekt bezpieczeństwa WordPress. Sam WordPress, jak również wtyczki i motywy, otrzymują regularne aktualizacje – a przynajmniej powinny. Zarządzanie tymi aktualizacjami jest niezbędne, ponieważ często zawierają one poprawki błędów i luk w zabezpieczeniach obecnych w bieżącej (zainstalowanej) wersji.
52% respondentów ma włączone automatyczne aktualizacje komponentów, które zawierają WordPress, wtyczki i motywy, podczas gdy 48% nie ma włączonych automatycznych aktualizacji. Oczywiście niewłączenie automatycznych aktualizacji niekoniecznie stanowi zagrożenie bezpieczeństwa, ponieważ wielu administratorów decyduje się na testowanie aktualizacji przed wprowadzeniem ich do środowiska na żywo.
W rzeczywistości 25% respondentów zawsze testuje aktualizacje w środowisku testowym lub testowym, podczas gdy 26% testuje tylko główne aktualizacje. Co więcej, 32% ankietowanych administratorów czasami testuje aktualizacje, a 17% nigdy nie testuje aktualizacji – niezależnie od tego, jaki wpływ mogą mieć na ich strony internetowe.
Strategia aktualizacji
Chociaż zarówno automatyczne aktualizacje WordPressa, jak i testowanie aktualizacji mają swoje zalety, stosowana strategia może zależeć od środowiska. Witryna e-commerce o wysokiej stawce może chcieć przetestować aktualizacje przed ich wprowadzeniem, ponieważ awaria może oznaczać utratę przychodów. Z drugiej strony właściciel witryny, który woli być jak najbardziej bezbronny, może włączyć automatyczne aktualizacje, aby zapewnić bezpieczeństwo swojej witryny bez konieczności aktywnego zarządzania nią.
W związku z tym pomyśleliśmy, że byłoby interesujące zobaczyć, jakie ogólne strategie stosują administratorzy strategii, jeśli chodzi o aktualizacje.
| Automatyczne aktualizacje i testy | Odsetek |
|---|---|
| Włączono automatyczne aktualizacje, a czasami aktualizacje testowe | 19 |
| Automatyczne aktualizacje wyłączone i zawsze testują aktualizacje | 16 |
| Automatyczne aktualizacje są wyłączone i testują tylko główne aktualizacje | 15 |
| Automatyczne aktualizacje wyłączone, a czasami aktualizacje testowe | 13 |
| Automatyczne aktualizacje włączone i nigdy nie testują aktualizacji | 13 |
| Automatyczne aktualizacje są włączone i testują tylko główne aktualizacje | 11 |
| Automatyczne aktualizacje włączone i zawsze testują aktualizacje | 9 |
| Automatyczne aktualizacje są wyłączone i nigdy nie testują aktualizacji | 4 |
Podczas gdy większość ludzi ma włączoną jakąś formę automatycznych aktualizacji, wielu administratorów nadal przeprowadza jakąś formę testów przed wdrożeniem aktualizacji w swoim aktywnym środowisku. W rzeczywistości tylko 17% wszystkich respondentów nigdy nie testuje aktualizacji.
Użycie wtyczki bezpieczeństwa
Uczestników ankiety zapytano również o korzystanie z wtyczek zabezpieczających. Szczególny nacisk położono na zapory ogniowe, 2FA, dzienniki aktywności WordPressa i wtyczki zabezpieczające hasłami.
Zdecydowana większość respondentów ma zainstalowaną wtyczkę zapory sieciowej w swoich środowiskach, a 81% twierdzi, że ma zainstalowaną jedną lub więcej. I odwrotnie, 19% nie ma zainstalowanych wtyczek zapory.
Funkcja 2FA nie jest tak popularna jak zapory ogniowe, mimo że firmy takie jak Microsoft i Google stoją za tym bezpieczniejszym sposobem logowania do WordPressa. W rzeczywistości tylko 64% respondentów korzysta z 2FA na swojej stronie internetowej, a 36% nie.
Wtyczki dziennika aktywności są tak samo popularne jak wtyczki 2FA, z których korzysta 65% respondentów.
Jeśli chodzi o bezpieczeństwo haseł, 38% respondentów ufa swoim użytkownikom, że korzystają z bezpiecznych haseł WordPress. Z drugiej strony 40% korzysta z wtyczki zabezpieczającej hasłem WordPress, a 22% rozważa jej użycie.
Najlepsze wtyczki
| Trzy najlepsze wtyczki zapory sieciowej | Trzy najlepsze wtyczki 2FA | Trzy najlepsze wtyczki dziennika aktywności |
|---|---|---|
| Ogrodzenie Świata - 49% | Słowenia - 25% | Dziennik aktywności WP - 42% |
| Sucuri - 7% | WP 2FA - 22% | Prosta historia - 7% |
| Bezpieczeństwo iThemes - 2,5% | Motywy i - 2,5% | Dziennik aktywności - 7% |
Wyciąganie wniosków i droga naprzód
Wyniki pokazują duże zainteresowanie bezpieczeństwem WordPressa, co jest zachęcające. Podobnie wielu administratorów i właścicieli witryn internetowych podejmuje działania mające na celu zapewnienie bezpieczeństwa ich witryn. Jednak wciąż pozostaje do wykonania pewna praca.
Chociaż 2FA, w takim czy innym kształcie, istnieje już od dłuższego czasu, wciąż musi nadrobić zaległości. Wtyczki zapory nadal cieszą się ogromną popularnością i choć są dobre, nie mogą chronić witryn WordPress przed naruszeniami poświadczeń. To sprawia, że wtyczki 2FA są niezbędne dla ogólnego bezpieczeństwa witryn WordPress.
Trzeba powiedzieć, że jest to tylko migawka tego, jak administratorzy WordPressa i właściciele witryn internetowych postrzegają bezpieczeństwo. Ważne jest również, aby pamiętać, że pytania zawarte w tej ankiecie obejmują tylko podstawy bezpieczeństwa WordPressa. Jeśli poważnie myślisz o ochronie swoich stron internetowych, koniecznie śledź nasz blog, na którym poruszamy wiele tematów dotyczących bezpieczeństwa WordPressa.