Resultados da pesquisa de segurança do WordPress 2022
Publicados: 2022-09-06Recentemente, fizemos uma pesquisa para entender melhor o estado da segurança do WordPress. A pesquisa foi aberta a todos e incluiu várias perguntas relacionadas à segurança do WordPress. Este relatório detalha nossas descobertas.
Por que esta pesquisa?
A segurança do WordPress é um tópico essencial na mente de muitos administradores e proprietários de sites. Devido à sua natureza aberta e iterativa, nem sempre é fácil entender se seus esforços vão longe o suficiente ou se há áreas que requerem mais atenção e desenvolvimento. Isso é especialmente verdadeiro ao fazer malabarismos com várias coisas ao mesmo tempo – como costuma ser o caso do gerenciamento de sites WordPress.
Para tanto, buscamos obter um instantâneo do estado de segurança do WordPress. Embora a pesquisa não cubra todos os aspectos, ainda é suficiente fornecer uma imagem abrangente da segurança geral do WordPress.
Quão importante é a segurança do WordPress para você?
A primeira pergunta que fizemos foi sobre a importância da segurança do WordPress para administradores do WordPress e proprietários de sites. Sem surpresa, a grande maioria dos entrevistados vê a segurança do WordPress como essencial. De fato, 96% dos entrevistados consideram a segurança do WordPress muito importante, enquanto 4% dos entrevistados a consideram um pouco importante.
Embora a grande maioria veja a segurança do WordPress como muito importante, a quantidade de tempo dedicada a proteger o WordPress varia consideravelmente. Veremos esses números a seguir.
Tempo total gasto em tarefas de segurança
Uma porcentagem mais significativa de administradores gasta entre uma e três horas por mês em tarefas de segurança, enquanto 35% dos entrevistados gastam mais de três horas. 22% gastam menos de uma hora por mês. Embora esta seja a minoria, ainda representa uma porcentagem considerável de todos os entrevistados.
Uma coisa que é importante notar aqui é que o tempo gasto em tarefas de segurança tende a variar ao longo do tempo. Normalmente, um tempo substancial é gasto durante a configuração inicial. Quando tudo estiver funcionando, geralmente menos tempo é gasto em tarefas relacionadas à segurança, com algumas horas por mês suficientes para cobrir a manutenção contínua. O tamanho e a complexidade dos sites também podem desempenhar um papel considerável em quanto tempo é gasto.
Proteção e melhores práticas do WordPress
O fortalecimento do WordPress é um processo de práticas recomendadas que visa reduzir a superfície de ataque dos sites WordPress. Nenhum padrão acordado define o que entra em um exercício de endurecimento; no entanto, isso normalmente envolve atividades como restringir a API REST e desabilitar o editor de arquivos, entre outras coisas.
Quando perguntamos aos entrevistados se eles já realizaram algum exercício de proteção de segurança do WordPress, a grande maioria – 85% respondeu que sim. 28% fortaleceram manualmente seu site WordPress, enquanto 26% usaram um plugin ou serviço. 31% usaram um plugin e realizaram processos manuais. Apenas 15% dos entrevistados não realizaram nenhum exercício de endurecimento.
Atualizações e testes
As atualizações são outro aspecto crítico da segurança do WordPress. O próprio WordPress, assim como plugins e temas, recebem atualizações regulares – ou pelo menos deveriam. Gerenciar essas atualizações é essencial, pois geralmente incluem correções de bugs e falhas de segurança presentes na versão atual (instalada).
52% dos entrevistados têm atualizações automáticas ativadas para componentes que incluem WordPress, plugins e temas, enquanto 48% não têm atualizações automáticas ativadas. É claro que não habilitar as atualizações automáticas não é necessariamente um risco de segurança, pois muitos administradores optam por testar as atualizações antes de implantá-las no ambiente ativo.
Na verdade, 25% dos entrevistados sempre testam as atualizações em um ambiente de teste ou teste, enquanto 26% testam apenas as atualizações principais. Além disso, 32% dos administradores pesquisados às vezes testam atualizações, enquanto 17% nunca testam atualizações – independentemente do impacto que possam ter em seus sites.
Estratégia de atualizações
Embora as atualizações automáticas do WordPress e os testes de atualização tenham seus méritos, a estratégia usada pode depender do ambiente. Um site de comércio eletrônico de alto risco pode querer testar as atualizações antes de lançá-las, pois uma interrupção pode significar perda de receita. Por outro lado, um proprietário de site que prefere ser o mais prático possível pode ativar as atualizações automáticas para manter seu site seguro sem ter que gerenciá-lo ativamente.
Como tal, achamos que seria interessante ver o que os administradores de estratégia geral empregam quando se trata de atualizações.
| Atualizações e testes automáticos | Percentagem |
|---|---|
| Atualizações automáticas ativadas e, às vezes, testa atualizações | 19 |
| Atualizações automáticas desativadas e sempre testa atualizações | 16 |
| Atualizações automáticas desativadas e apenas testa as principais atualizações | 15 |
| Atualizações automáticas desativadas e, às vezes, testa atualizações | 13 |
| Atualizações automáticas ativadas e nunca testa atualizações | 13 |
| Atualizações automáticas ativadas e apenas testa as principais atualizações | 11 |
| Atualizações automáticas ativadas e sempre testa atualizações | 9 |
| Atualizações automáticas desativadas e nunca testa atualizações | 4 |
Embora a maioria das pessoas tenha algum tipo de atualização automática habilitada, muitos administradores ainda realizam algum tipo de teste antes de implantar atualizações em seu ambiente ativo. Na verdade, apenas 17% de todos os entrevistados nunca testam atualizações.
Uso do plug-in de segurança
Os participantes da pesquisa também foram questionados sobre o uso de plugins de segurança. Um foco particular foi colocado em firewalls, 2FA, logs de atividades do WordPress e plugins de segurança de senha.
A grande maioria dos entrevistados possui um plugin de firewall instalado em seus ambientes, sendo que 81% afirmaram possuir um ou mais plugins instalados. Por outro lado, 19% não possuem plugins de firewall instalados.
O 2FA não é tão popular quanto os firewalls, apesar de empresas como Microsoft e Google apoiarem essa maneira mais segura de fazer login no WordPress. De fato, apenas 64% dos entrevistados usam 2FA em seu site, enquanto 36% não.
Os plug-ins de log de atividades são tão populares quanto os plug-ins 2FA, com 65% dos entrevistados usando um.
Quando se trata de segurança de senha, 38% dos entrevistados confiam em seus usuários para usar senhas seguras do WordPress. Por outro lado, 40% usam um plugin de segurança de senha do WordPress, enquanto 22% estão pensando em usar um.
Principais plug-ins
| Os três principais plug-ins de firewall | Os três principais plug-ins 2FA | Os três principais plug-ins de registro de atividades |
|---|---|---|
| WordFence - 49% | Wordfence - 25% | Registro de atividades do WP - 42% |
| Sucuri - 7% | WP 2FA - 22% | Histórico Simples - 7% |
| Segurança iThemes - 2,5% | iTemas - 2,5% | Registro de atividades - 7% |
Tirar conclusões e um caminho a seguir
Os resultados mostram um forte interesse na segurança do WordPress, o que é encorajador. Da mesma forma, muitos administradores e proprietários de sites estão tomando medidas para garantir que seus sites sejam seguros. No entanto, algum trabalho ainda precisa ser feito.
Embora o 2FA, de uma forma ou de outra, já exista há algum tempo, ainda precisa ser atualizado. Os plug-ins de firewall continuam a desfrutar de enorme popularidade e, por melhor que sejam, eles não podem proteger os sites do WordPress contra violações de credenciais. Isso torna os plugins 2FA essenciais para a segurança geral dos sites WordPress.
Deve-se dizer que isso é apenas um instantâneo de como os administradores do WordPress e os proprietários de sites veem a segurança. Também é importante observar que as perguntas desta pesquisa cobrem apenas o básico da segurança do WordPress. Se você leva a sério a proteção de seus sites, certifique-se de seguir nosso blog, onde abordamos vários tópicos sobre segurança do WordPress.