Результаты опроса безопасности WordPress 2022 г.
Опубликовано: 2022-09-06Недавно мы провели опрос, чтобы лучше понять состояние безопасности WordPress. Опрос был открыт для всех и включал несколько вопросов, связанных с безопасностью WordPress. В этом отчете подробно описаны наши выводы.
Зачем этот опрос?
Безопасность WordPress является важной темой для многих администраторов и владельцев веб-сайтов. Из-за его открытого и итеративного характера не всегда легко понять, достаточно ли далеко зашли ваши усилия или есть области, требующие дальнейшего внимания и развития. Это особенно верно при работе с несколькими вещами одновременно — как это часто бывает при управлении веб-сайтами WordPress.
С этой целью мы стремились получить снимок состояния безопасности WordPress. Хотя опрос не охватывает все аспекты, его все же достаточно, чтобы составить общее представление об общей безопасности WordPress.
Насколько для вас важна безопасность WordPress?
Первый вопрос, который мы задали, касался важности безопасности WordPress для администраторов WordPress и владельцев веб-сайтов. Неудивительно, что подавляющее большинство респондентов считают безопасность WordPress крайне важной. Фактически, 96% респондентов считают безопасность WordPress очень важной, а 4% респондентов считают ее несколько важной.
В то время как подавляющее большинство считает безопасность WordPress очень важной, количество времени, затрачиваемое на защиту WordPress, значительно различается. Далее мы рассмотрим эти цифры.
Общее время, потраченное на задачи безопасности
Более значительный процент администраторов тратит от одного до трех часов в месяц на задачи безопасности, а 35% респондентов тратят более трех часов. 22% тратят менее одного часа в месяц. Хотя это меньшинство, но все же они составляют значительный процент от всех респондентов.
Здесь важно отметить, что время, затрачиваемое на задачи безопасности, имеет тенденцию меняться с течением времени. Как правило, на первоначальную настройку уходит много времени. После того, как все настроено и работает, на задачи, связанные с безопасностью, обычно тратится меньше времени, а несколько часов в месяц достаточно для текущего обслуживания. Размер и сложность веб-сайтов также могут играть значительную роль в том, сколько времени тратится на них.
Защита WordPress и лучшие практики
Усиление защиты WordPress — это передовой метод, направленный на уменьшение поверхности атаки на веб-сайты WordPress. Никакой согласованный стандарт не определяет, что входит в упражнение по закаливанию; однако это обычно включает такие действия, как ограничение REST API и отключение редактора файлов, среди прочего.
Когда мы спросили респондентов, предпринимали ли они когда-либо такие меры по усилению безопасности WordPress, подавляющее большинство — 85% — ответили утвердительно. 28% усилили защиту своего веб-сайта на WordPress вручную, а 26% использовали плагин или сервис. 31% использовали плагин и выполняли ручные процессы. Только 15% респондентов не выполняли никаких закаливающих упражнений.
Обновления и тестирование
Обновления — еще один важный аспект безопасности WordPress. Сам WordPress, а также плагины и темы регулярно получают обновления — или, по крайней мере, должны. Управление этими обновлениями имеет важное значение, поскольку они часто включают исправления ошибок и дыр в безопасности, присутствующих в текущей (установленной) версии.
52% респондентов включили автообновления для компонентов, включающих WordPress, плагины и темы, а 48% не включили автообновления. Конечно, отключение автоматических обновлений не обязательно является угрозой безопасности, поскольку многие администраторы предпочитают тестировать обновления перед их развертыванием в рабочей среде.
Фактически, 25 % респондентов всегда тестируют обновления в тестовой или промежуточной среде, а 26 % тестируют только основные обновления. Кроме того, 32 % опрошенных администраторов иногда проверяют обновления, а 17 % никогда не тестируют обновления, независимо от того, какое влияние они могут оказать на их веб-сайты.
Стратегия обновлений
Хотя и автоматическое обновление WordPress, и тестирование обновлений имеют свои достоинства, используемая стратегия может зависеть от среды. Веб-сайт электронной коммерции с высокими ставками может захотеть протестировать обновления перед их развертыванием, поскольку сбой может означать потерю дохода. С другой стороны, владелец веб-сайта, который предпочитает как можно больше оставаться в стороне, может включить автоматические обновления, чтобы обеспечить безопасность своего веб-сайта без необходимости активно управлять им.
Таким образом, мы подумали, что было бы интересно посмотреть, какую общую стратегию используют администраторы, когда дело доходит до обновлений.
| Автообновления и тестирование | Процент |
|---|---|
| Включены автоматические обновления и иногда тестируются обновления | 19 |
| Автоматические обновления отключены и всегда тестируются обновления | 16 |
| Автоматические обновления отключены и тестируются только основные обновления. | 15 |
| Автообновления отключены и иногда тестируются обновления | 13 |
| Автообновления включены и никогда не тестируют обновления | 13 |
| Автоматические обновления включены и тестируются только основные обновления. | 11 |
| Автообновления включены и всегда тестируют обновления | 9 |
| Автообновления отключены и никогда не тестируются обновления | 4 |
Хотя у большинства людей включены какие-либо формы автообновлений, многие администраторы по-прежнему выполняют некоторые формы тестирования перед развертыванием обновлений в своей рабочей среде. На самом деле только 17% всех респондентов никогда не тестируют обновления.
Использование плагина безопасности
Участников опроса также спросили об использовании плагинов безопасности. Особое внимание было уделено брандмауэрам, 2FA, журналам активности WordPress и плагинам для защиты паролей.
Подавляющее большинство респондентов установили в своей среде подключаемый модуль брандмауэра, при этом 81% заявили, что у них установлен один или несколько модулей. И наоборот, у 19% не установлены какие-либо плагины брандмауэра.
2FA не так популярен, как брандмауэры, несмотря на то, что такие компании, как Microsoft и Google, поддерживают этот более безопасный способ входа в WordPress. Фактически, только 64% респондентов используют 2FA на своем сайте, а 36% — нет.
Плагины журнала активности так же популярны, как и плагины 2FA: их используют 65% респондентов.
Что касается безопасности паролей, 38% респондентов доверяют своим пользователям использовать безопасные пароли WordPress. С другой стороны, 40% используют плагин для защиты паролей WordPress, а 22% рассматривают возможность его использования.
Лучшие плагины
| Три лучших плагина брандмауэра | Три лучших плагина 2FA | Три лучших плагина журнала активности |
|---|---|---|
| WordFence — 49% | Wordfence - 25% | Журнал активности WP — 42% |
| Сукури - 7% | WP 2ФА - 22% | Простая история - 7% |
| Безопасность iThemes — 2,5% | iThemes — 2,5% | Журнал активности - 7% |
Выводы и путь вперед
Результаты показывают большой интерес к безопасности WordPress, что обнадеживает. Точно так же многие администраторы и владельцы веб-сайтов принимают меры для обеспечения безопасности своих веб-сайтов. Тем не менее, некоторая работа все еще должна быть сделана.
Хотя 2FA в той или иной форме существует уже довольно давно, ей все еще нужно наверстать упущенное. Плагины брандмауэра по-прежнему пользуются огромной популярностью, и, как бы они ни были хороши, они не могут защитить веб-сайты WordPress от нарушений учетных данных. Это делает плагины 2FA важными для общей безопасности веб-сайтов WordPress.
Следует сказать, что это всего лишь снимок того, как администраторы WordPress и владельцы веб-сайтов относятся к безопасности. Также важно отметить, что вопросы в этом опросе охватывают лишь основы безопасности WordPress. Если вы серьезно относитесь к защите своих веб-сайтов, обязательно следите за нашим блогом, где мы освещаем множество тем о безопасности WordPress.