ผลสำรวจความปลอดภัยของ WordPress 2022
เผยแพร่แล้ว: 2022-09-06เมื่อเร็ว ๆ นี้เราได้ทำการสำรวจเพื่อทำความเข้าใจสถานะความปลอดภัยของ WordPress ให้ดียิ่งขึ้น แบบสำรวจนี้เปิดกว้างสำหรับทุกคนและรวมคำถามที่เกี่ยวข้องกับความปลอดภัยของ WordPress ไว้หลายข้อ รายงานนี้มีรายละเอียดการค้นพบของเรา
ทำไมต้องทำแบบสำรวจนี้
ความปลอดภัยของ WordPress เป็นหัวข้อสำคัญในใจของผู้ดูแลระบบและเจ้าของเว็บไซต์จำนวนมาก เนื่องจากลักษณะที่เปิดกว้างและทำซ้ำ จึงไม่ใช่เรื่องง่ายเสมอไปที่จะเข้าใจว่าความพยายามของคุณไปได้ไกลเพียงพอหรือไม่ หรือมีส่วนที่ต้องให้ความสนใจและการพัฒนาเพิ่มเติมหรือไม่ โดยเฉพาะอย่างยิ่งเมื่อต้องเล่นกลหลาย ๆ อย่างพร้อมกัน – เช่นเดียวกับการจัดการเว็บไซต์ WordPress
ด้วยเหตุนี้ เราจึงพยายามหาภาพรวมสถานะของความปลอดภัยของ WordPress แม้ว่าการสำรวจจะไม่ครอบคลุมทุกด้าน แต่ก็ยังเพียงพอที่จะให้ภาพรวมของการรักษาความปลอดภัย WordPress ทั่วไป
ความปลอดภัยของ WordPress สำคัญกับคุณแค่ไหน?
คำถามแรกที่เราถามได้พิจารณาถึงความสำคัญของความปลอดภัยของ WordPress ต่อผู้ดูแลระบบ WordPress และเจ้าของเว็บไซต์ ไม่น่าแปลกใจเลยที่ผู้ตอบแบบสอบถามส่วนใหญ่มองว่าความปลอดภัยของ WordPress เป็นสิ่งจำเป็น อันที่จริง 96% ของผู้ตอบแบบสอบถามมองว่าการรักษาความปลอดภัยของ WordPress มีความสำคัญมาก ในขณะที่ 4% ของผู้ตอบแบบสอบถามมองว่าค่อนข้างสำคัญ
แม้ว่าคนส่วนใหญ่มองว่าการรักษาความปลอดภัยของ WordPress มีความสำคัญมาก แต่ระยะเวลาที่ใช้ในการรักษาความปลอดภัยของ WordPress นั้นแตกต่างกันอย่างมาก เราจะดูตัวเลขเหล่านี้ต่อไป
เวลาทั้งหมดที่ใช้ในงานรักษาความปลอดภัย
เปอร์เซ็นต์ที่มีนัยสำคัญมากขึ้นของผู้ดูแลระบบใช้เวลาระหว่างหนึ่งถึงสามชั่วโมงต่อเดือนกับงานด้านความปลอดภัย ในขณะที่ 35% ของผู้ตอบแบบสอบถามใช้เวลามากกว่าสามชั่วโมง 22% ใช้เวลาน้อยกว่าหนึ่งชั่วโมงต่อเดือน แม้ว่านี่จะเป็นส่วนน้อย แต่ก็ยังเป็นเปอร์เซ็นต์ของผู้ตอบแบบสอบถามทั้งหมด
สิ่งหนึ่งที่ควรทราบในที่นี้คือ เวลาที่ใช้ในงานด้านความปลอดภัยมักจะแตกต่างกันไปตามช่วงเวลา โดยปกติจะใช้เวลาอย่างมากระหว่างการตั้งค่าเริ่มต้น เมื่อทุกอย่างพร้อมใช้งาน โดยทั่วไปจะใช้เวลาน้อยลงกับงานที่เกี่ยวข้องกับความปลอดภัย โดยใช้เวลาไม่กี่ชั่วโมงต่อเดือนเพียงพอที่จะครอบคลุมการบำรุงรักษาอย่างต่อเนื่อง ขนาดและความซับซ้อนของเว็บไซต์ยังสามารถมีบทบาทอย่างมากในการใช้เวลาเท่าไร
การแข็งตัวของ WordPress และแนวทางปฏิบัติที่ดีที่สุด
การชุบแข็งของ WordPress เป็นกระบวนการปฏิบัติที่ดีที่สุดที่มีเป้าหมายเพื่อลดพื้นผิวการโจมตีของเว็บไซต์ WordPress ไม่มีมาตรฐานใดที่ตกลงร่วมกันจะกำหนดสิ่งที่จะเข้าสู่การฝึกความแข็งแกร่ง อย่างไรก็ตาม การดำเนินการนี้มักเกี่ยวข้องกับกิจกรรมต่างๆ เช่น การจำกัด REST API และการปิดใช้งานโปรแกรมแก้ไขไฟล์ เป็นต้น
เมื่อเราถามผู้ตอบแบบสอบถามว่าพวกเขาเคยดำเนินการเพิ่มความปลอดภัยให้กับ WordPress หรือไม่ คนส่วนใหญ่ - 85% ตอบว่าพวกเขามี 28% เสริมความแข็งแกร่งให้กับเว็บไซต์ WordPress ของพวกเขาเอง ในขณะที่ 26% ใช้ปลั๊กอินหรือบริการ 31% ใช้ปลั๊กอินและดำเนินการด้วยตนเอง มีเพียง 15% ของผู้ตอบแบบสอบถามที่ไม่ได้ออกกำลังกายแบบแข็งกระด้าง
การอัปเดตและการทดสอบ
การอัปเดตเป็นอีกแง่มุมที่สำคัญของการรักษาความปลอดภัย WordPress WordPress เอง เช่นเดียวกับปลั๊กอินและธีม จะได้รับการอัปเดตเป็นประจำ – หรืออย่างน้อยก็ควรได้รับการอัปเดต การจัดการการอัปเดตเหล่านี้มีความสำคัญ เนื่องจากมักจะมีการแก้ไขจุดบกพร่องและช่องโหว่ด้านความปลอดภัยที่มีอยู่ในเวอร์ชันปัจจุบัน (ติดตั้งแล้ว)
52% ของผู้ตอบแบบสอบถามเปิดใช้งานการอัปเดตอัตโนมัติสำหรับส่วนประกอบที่มี WordPress, ปลั๊กอิน และธีม ในขณะที่ 48% ไม่ได้เปิดใช้งานการอัปเดตอัตโนมัติ แน่นอนว่า การไม่เปิดใช้งานการอัปเดตอัตโนมัติไม่จำเป็นต้องเป็นความเสี่ยงด้านความปลอดภัย เนื่องจากผู้ดูแลระบบจำนวนมากเลือกที่จะทดสอบการอัปเดตก่อนที่จะนำไปใช้กับสภาพแวดล้อมจริง
อันที่จริง ผู้ตอบแบบสำรวจ 25% ทดสอบการอัปเดตในสภาพแวดล้อมการทดสอบหรือการจัดเตรียมเสมอ ในขณะที่ 26% ทดสอบเฉพาะการอัปเดตที่สำคัญเท่านั้น นอกจากนี้ 32% ของผู้ดูแลระบบที่ทำการสำรวจในบางครั้งจะทดสอบการอัปเดต ในขณะที่ 17% ไม่เคยทดสอบการอัปเดต โดยไม่คำนึงถึงผลกระทบที่อาจมีต่อเว็บไซต์ของตน
อัพเดทกลยุทธ์
แม้ว่าทั้งการอัปเดตอัตโนมัติของ WordPress และการทดสอบการอัปเดตต่างก็มีประโยชน์ แต่กลยุทธ์ที่ใช้อาจขึ้นอยู่กับสภาพแวดล้อม เว็บไซต์อีคอมเมิร์ซที่มีเดิมพันสูงอาจต้องการทดสอบการอัปเดตก่อนเปิดตัว เนื่องจากการหยุดทำงานอาจทำให้สูญเสียรายได้ ในทางกลับกัน เจ้าของเว็บไซต์ที่ต้องการปล่อยมือให้มากที่สุดอาจเปิดการอัปเดตอัตโนมัติเพื่อให้เว็บไซต์ของตนปลอดภัยโดยไม่ต้องจัดการทั้งหมดมากนัก
ด้วยเหตุนี้ เราจึงคิดว่ามันน่าสนใจที่จะเห็นว่าผู้ดูแลระบบกลยุทธ์โดยรวมใช้อะไรในการอัปเดต
| อัปเดตและทดสอบอัตโนมัติ | เปอร์เซ็นต์ |
|---|---|
| เปิดใช้งานการอัปเดตอัตโนมัติและบางครั้งทดสอบการอัปเดต | 19 |
| ปิดใช้งานการอัปเดตอัตโนมัติและทดสอบการอัปเดตเสมอ | 16 |
| ปิดใช้งานการอัปเดตอัตโนมัติและทดสอบเฉพาะการอัปเดตที่สำคัญ | 15 |
| การอัปเดตอัตโนมัติถูกปิดใช้งานและบางครั้งทดสอบการอัปเดต | 13 |
| เปิดใช้งานการอัปเดตอัตโนมัติและไม่เคยทดสอบการอัปเดต | 13 |
| เปิดใช้งานการอัปเดตอัตโนมัติและทดสอบเฉพาะการอัปเดตที่สำคัญ | 11 |
| เปิดใช้งานการอัปเดตอัตโนมัติและทดสอบการอัปเดตเสมอ | 9 |
| ปิดใช้งานการอัปเดตอัตโนมัติและไม่เคยทดสอบการอัปเดต | 4 |
ในขณะที่คนส่วนใหญ่เปิดใช้งานการอัปเดตอัตโนมัติบางรูปแบบ แต่ผู้ดูแลระบบจำนวนมากยังคงทำการทดสอบบางรูปแบบก่อนที่จะปรับใช้การอัปเดตในสภาพแวดล้อมจริงของตน อันที่จริงมีเพียง 17% ของผู้ตอบแบบสอบถามทั้งหมดไม่เคยทดสอบการอัปเดต
การใช้ปลั๊กอินความปลอดภัย
ผู้เข้าร่วมการสำรวจยังถูกถามเกี่ยวกับการใช้ปลั๊กอินความปลอดภัยอีกด้วย มุ่งเน้นไปที่ไฟร์วอลล์ 2FA บันทึกกิจกรรม WordPress และปลั๊กอินความปลอดภัยรหัสผ่าน
ผู้ตอบแบบสอบถามส่วนใหญ่มีปลั๊กอินไฟร์วอลล์ติดตั้งอยู่ในสภาพแวดล้อม โดย 81% ระบุว่าได้ติดตั้งไว้ตั้งแต่หนึ่งรายการขึ้นไป ในทางกลับกัน 19% ไม่ได้ติดตั้งปลั๊กอินไฟร์วอลล์
2FA ไม่ได้รับความนิยมเท่ากับไฟร์วอลล์ แม้ว่าบริษัทต่างๆ เช่น Microsoft และ Google จะสนับสนุนวิธีการลงชื่อเข้าใช้ WordPress ที่ปลอดภัยยิ่งขึ้น อันที่จริง มีเพียง 64% ของผู้ตอบแบบสอบถามใช้ 2FA บนเว็บไซต์ ในขณะที่ 36% ไม่ใช้
ปลั๊กอินบันทึกกิจกรรมได้รับความนิยมพอๆ กับปลั๊กอิน 2FA โดย 65% ของผู้ตอบแบบสอบถามใช้ปลั๊กอินนี้
เมื่อพูดถึงความปลอดภัยของรหัสผ่าน 38% ของผู้ตอบแบบสอบถามไว้วางใจให้ผู้ใช้ใช้รหัสผ่าน WordPress ที่ปลอดภัย ในทางกลับกัน 40% ใช้ปลั๊กอินความปลอดภัยรหัสผ่าน WordPress ในขณะที่ 22% กำลังพิจารณาใช้ปลั๊กอินนี้
ปลั๊กอินยอดนิยม
| ปลั๊กอินไฟร์วอลล์สามอันดับแรก | ปลั๊กอิน 2FA สามอันดับแรก | ปลั๊กอินบันทึกกิจกรรมสามอันดับแรก |
|---|---|---|
| WordFence - 49% | รั้วคำ - 25% | บันทึกกิจกรรม WP - 42% |
| ซูคูริ - 7% | WP 2FA - 22% | ประวัติอย่างง่าย - 7% |
| ความปลอดภัยของ iThemes - 2.5% | ไอธีม - 2.5% | บันทึกกิจกรรม - 7% |
การหาข้อสรุปและหนทางข้างหน้า
ผลลัพธ์แสดงความสนใจอย่างมากในความปลอดภัยของ WordPress ซึ่งน่ายินดี เช่นเดียวกัน ผู้ดูแลระบบและเจ้าของเว็บไซต์จำนวนมากกำลังดำเนินการเพื่อให้แน่ใจว่าเว็บไซต์ของตนปลอดภัย ถึงกระนั้น งานบางอย่างก็ยังต้องทำ
แม้ว่า 2FA ในรูปแบบใดรูปแบบหนึ่ง มีมาระยะหนึ่งแล้ว แต่ก็ยังต้องตามให้ทัน ปลั๊กอินไฟร์วอลล์ยังคงได้รับความนิยมอย่างล้นหลาม และพวกเขาไม่สามารถปกป้องเว็บไซต์ WordPress จากการละเมิดข้อมูลประจำตัวได้ สิ่งนี้ทำให้ปลั๊กอิน 2FA จำเป็นต่อการรักษาความปลอดภัยโดยรวมของเว็บไซต์ WordPress
ต้องบอกว่านี่เป็นเพียงภาพรวมของวิธีที่ผู้ดูแลระบบ WordPress และเจ้าของเว็บไซต์ดูความปลอดภัย เป็นสิ่งสำคัญที่จะต้องทราบด้วยว่าคำถามในแบบสำรวจนี้ครอบคลุมถึงแต่พื้นฐานของความปลอดภัยของ WordPress หากคุณจริงจังกับการปกป้องเว็บไซต์ของคุณ อย่าลืมติดตามบล็อกของเรา ซึ่งเราครอบคลุมหัวข้อมากมายเกี่ยวกับความปลอดภัยของ WordPress