WordPress güvenlik anketi sonuçları 2022
Yayınlanan: 2022-09-06WordPress güvenliğinin durumunu daha iyi anlamak için yakın zamanda bir anket yaptık. Anket herkese açıktı ve WordPress güvenliğiyle ilgili birkaç soru içeriyordu. Bu rapor bulgularımızı detaylandırıyor.
Neden bu anket?
WordPress güvenliği, birçok yöneticinin ve web sitesi sahibinin kafasında önemli bir konudur. Açık ve yinelemeli doğası nedeniyle, çabalarınızın yeterince ileri gidip gitmediğini veya daha fazla dikkat ve geliştirme gerektiren alanlar olup olmadığını anlamak her zaman kolay değildir. Bu, özellikle WordPress web sitelerinin yönetiminde sıklıkla olduğu gibi, aynı anda birden fazla şeyle uğraşırken geçerlidir.
Bu amaçla, WordPress güvenlik durumunun bir anlık görüntüsünü almaya çalıştık. Anket tüm yönleri kapsamasa da, genel WordPress güvenliğinin kapsayıcı bir resmini sunmak hala yeterlidir.
WordPress güvenliği sizin için ne kadar önemli?
Sorduğumuz ilk soru, WordPress güvenliğinin WordPress yöneticileri ve web sitesi sahipleri için önemine baktı. Şaşırtıcı olmayan bir şekilde, ankete katılanların büyük çoğunluğu WordPress güvenliğini gerekli görüyor. Aslında, ankete katılanların %96'sı WordPress güvenliğini çok önemli olarak görürken, %4'ü bunu biraz önemli olarak görüyor.
Büyük çoğunluk WordPress güvenliğini çok önemli olarak görse de, WordPress'in güvenliğini sağlamak için ayrılan süre oldukça değişkendir. Bu rakamlara daha sonra bakacağız.
Güvenlik görevlerine harcanan toplam süre
Yöneticilerin daha önemli bir yüzdesi güvenlik görevlerine ayda bir ila üç saat arasında zaman harcarken, yanıt verenlerin %35'i üç saatten fazla zaman harcıyor. %22'si ayda bir saatten az zaman harcıyor. Bu azınlık olsa da, hala tüm katılımcıların önemli bir yüzdesini temsil ediyor.
Burada önemli olan bir şey, güvenlik görevlerine harcanan zamanın zamanla değişme eğiliminde olmasıdır. Tipik olarak, ilk kurulum sırasında önemli ölçüde zaman harcanır. Her şey çalışmaya başladığında, ayda birkaç saat devam eden bakımı karşılamaya yetecek kadar güvenlikle ilgili görevlere genellikle daha az zaman harcanır. Web sitelerinin boyutu ve karmaşıklığı, ne kadar zaman harcandığı konusunda da önemli bir rol oynayabilir.
WordPress sağlamlaştırma ve en iyi uygulamalar
WordPress sertleştirme, WordPress web sitelerinin saldırı yüzeyini azaltmayı amaçlayan en iyi uygulama sürecidir. Üzerinde anlaşmaya varılan hiçbir standart, bir sertleştirme alıştırmasına neyin gireceğini tanımlamaz; ancak, bu genellikle diğer şeylerin yanı sıra REST API'yi kısıtlama ve dosya düzenleyiciyi devre dışı bırakma gibi etkinlikleri içerir.
Katılımcılara böyle bir WordPress güvenlik güçlendirme alıştırması yapıp yapmadıklarını sorduğumuzda, büyük çoğunluk -% 85'i yaptıklarını söyledi. %28'i WordPress web sitesini manuel olarak sağlamlaştırırken, %26'sı bir eklenti veya hizmet kullandı. %31'i bir eklenti kullandı ve manuel işlemler gerçekleştirdi. Katılımcıların sadece %15'i herhangi bir sertleştirme egzersizi yapmamıştır.
Güncellemeler ve testler
Güncellemeler, WordPress güvenliğinin bir başka kritik yönüdür. WordPress'in kendisi, eklentiler ve temalar düzenli güncellemeler alır - veya en azından almaları gerekir. Bu güncellemeleri yönetmek, genellikle mevcut (yüklü) sürümde bulunan hatalar ve güvenlik açıkları için düzeltmeler içerdiğinden önemlidir.
Ankete katılanların %52'sinde WordPress, eklentiler ve temalar içeren bileşenler için otomatik güncellemeler etkinken, %48'inde otomatik güncellemeler etkin değil. Pek çok yönetici, güncellemeleri canlı ortama yaymadan önce test etmeyi tercih ettiğinden, otomatik güncellemeleri etkinleştirmemek elbette bir güvenlik riski değildir.
Aslında, yanıt verenlerin %25'i güncellemeleri her zaman bir test veya hazırlama ortamında test ederken, %26'sı yalnızca önemli güncellemeleri test ediyor. Ayrıca, ankete katılan yöneticilerin %32'si bazen güncellemeleri test ederken, %17'si web sitelerinde olabilecek etkileri ne olursa olsun güncellemeleri asla test etmiyor.
Güncelleme stratejisi
Hem WordPress otomatik güncellemelerinin hem de güncelleme testinin faydaları olsa da, birinin kullandığı strateji ortama bağlı olabilir. Yüksek bahisli bir e-ticaret web sitesi, bir kesinti gelir kaybı anlamına gelebileceğinden, güncellemeleri kullanıma sunmadan önce test etmek isteyebilir. Öte yandan, mümkün olduğu kadar dikkatli olmayı tercih eden bir web sitesi sahibi, web sitelerini aktif olarak yönetmek zorunda kalmadan web sitelerini güvende tutmak için otomatik güncellemeleri açabilir.
Bu nedenle, güncellemeler söz konusu olduğunda genel strateji yöneticilerinin ne kullandığını görmenin ilginç olacağını düşündük.
| Otomatik güncellemeler ve test | Yüzde |
|---|---|
| Otomatik güncellemeler etkin ve bazen güncellemeleri test ediyor | 19 |
| Otomatik güncellemeler devre dışı bırakılır ve güncellemeleri her zaman test eder | 16 |
| Otomatik güncellemeler devre dışı bırakıldı ve yalnızca önemli güncellemeleri test etti | 15 |
| Otomatik güncellemeler devre dışı bırakıldı ve bazen güncellemeleri test ediyor | 13 |
| Otomatik güncellemeler etkindir ve güncellemeleri asla test etmez | 13 |
| Otomatik güncellemeler etkindir ve yalnızca önemli güncellemeleri test eder | 11 |
| Otomatik güncellemeler etkin ve güncellemeleri her zaman test eder | 9 |
| Otomatik güncellemeler devre dışı bırakıldı ve güncellemeleri asla test etmedi | 4 |
İnsanların çoğunda bir tür otomatik güncelleme etkinleştirilmiş olsa da, birçok yönetici canlı ortamlarına güncellemeleri dağıtmadan önce hala bir tür test gerçekleştirir. Aslında, tüm katılımcıların yalnızca %17'si güncellemeleri hiç test etmiyor.
Güvenlik eklentisi kullanımı
Anket katılımcılarına ayrıca güvenlik eklentilerini nasıl kullandıkları da soruldu. Güvenlik duvarlarına, 2FA'ya, WordPress etkinlik günlüklerine ve parola güvenlik eklentilerine özellikle odaklanıldı.
Katılımcıların büyük çoğunluğunun ortamlarında yüklü bir güvenlik duvarı eklentisi var ve %81'i bir veya daha fazla yüklü olduğunu belirtiyor. Bunun tersine, %19'unun kurulu herhangi bir güvenlik duvarı eklentisi yok.
2FA, Microsoft ve Google gibi şirketlerin WordPress'e giriş yapmanın bu daha güvenli yolunun arkasında toplanmasına rağmen, güvenlik duvarları kadar popüler değil. Aslında, yanıt verenlerin yalnızca %64'ü web sitelerinde 2FA kullanıyor, %36'sı kullanmıyor.
Etkinlik günlüğü eklentileri, 2FA eklentileri kadar popülerdir ve katılımcıların %65'i bir eklenti kullanmaktadır.
Parola güvenliği söz konusu olduğunda, yanıt verenlerin %38'i kullanıcılarına güvenli WordPress parolaları kullanma konusunda güveniyor. Öte yandan, %40'ı bir WordPress şifre güvenlik eklentisi kullanırken, %22'si bir tane kullanmayı düşünüyor.
En iyi eklentiler
| En iyi üç güvenlik duvarı eklentisi | En iyi üç 2FA eklentisi | En iyi üç etkinlik günlüğü eklentisi |
|---|---|---|
| WordFence - %49 | Kelime çiti - %25 | WP Etkinlik Günlüğü - %42 |
| Sucuri - %7 | WP 2FA - %22 | Basit Tarih - %7 |
| iThemes güvenliği - %2,5 | iThemes - %2,5 | Etkinlik Günlüğü - %7 |
Sonuç çıkarma ve ileriye dönük bir yol
Sonuçlar, cesaret verici olan WordPress güvenliğine büyük ilgi gösteriyor. Aynı şekilde, birçok yönetici ve web sitesi sahibi, web sitelerinin güvenli olduğundan emin olmak için harekete geçiyor. Ancak yine de bazı çalışmaların yapılması gerekiyor.
2FA, şu ya da bu şekilde oldukça uzun bir süredir var olsa da, hala yetişmesi gerekiyor. Güvenlik duvarı eklentileri muazzam bir popülariteye sahip olmaya devam ediyor ve oldukları kadar iyi olsalar da WordPress web sitelerini kimlik bilgisi ihlallerinden koruyamazlar. Bu, 2FA eklentilerini WordPress web sitelerinin genel güvenliği için gerekli kılar.
Bunun, WordPress yöneticilerinin ve web sitesi sahiplerinin güvenliği nasıl gördüklerinin bir anlık görüntüsü olduğu söylenmelidir. Bu anketteki soruların WordPress güvenliğinin temellerini kapsadığını da belirtmek önemlidir. Web sitelerinizi koruma konusunda ciddiyseniz, WordPress güvenliğiyle ilgili çok sayıda konuyu ele aldığımız blogumuzu takip ettiğinizden emin olun.