2024 年 WordPress 安全威胁形势:主要趋势和统计数据
已发表: 2024-04-18WPScan 最近发布了对 WordPress 网站的 2023 个漏洞和威胁的审查。 有了这些信息,网站所有者和 WordPress 专业人士都可以更安全地度过 2024 年。
WPScan 在专门的安全专家的领导下,维护着 WordPress 生态系统威胁的首要数据库。 WPScan 被整个行业的顶级专业人士使用,被认为是最完整的可用资源。 迄今为止,WPScan 和贡献者已识别、验证和分类了超过 49,000 个漏洞。
该数据库被 Mercedes-Benz Group、WP Engine、Accenture 和 Kinsta 等企业组织使用。 它还为著名的 WordPress 安全工具提供支持,例如 Jetpack Scan,可通过 Jetpack Protect 或 Jetpack Security 计划使用。
为什么会有这份报告? 数据从哪里来?
WPScan 的团队致力于识别、验证和索引 WordPress 生态系统的威胁,以便 WordPress 安全工具(如 Jetpack Security)能够有效防范这些威胁并保护社区。
识别和理解威胁是网络安全保护的第一步。
本报告中的数据是根据 WPScan 披露并经过其安全研究人员验证的漏洞以及超过 350,000 个使用 Jetpack Scan 或 Jetpack Protect 的网站和 Automattic 服务的样本编写的。
我们学到了什么?
没有时间阅读完整报告? 不用担心。 我们为您提供了要点摘要。
XSS 受到广泛关注,但 SQL 注入是更普遍的威胁
跨站点脚本受到广泛关注。 漏洞赏金猎人和安全研究人员经常报告此问题(占所有已披露漏洞的 53%)。
但最常见的威胁类型(正如 Jetpack 防火墙实际阻止的尝试所证明的那样)实际上是 SQL 注入。 SQL 注入的威胁往往特别严重,因为利用此类漏洞几乎不需要任何身份验证。
在 WordPress 安全方面,有两种最常见的威胁
该报告证实了我们已经知道的事情:薄弱的用户凭据和无效的插件是大多数攻击的网关。
这意味着站点管理员可以通过保持软件最新并要求强大的身份验证来防止大多数安全问题。
超过 20% 的漏洞不需要身份验证
WPScan 团队审查漏洞以确定利用受影响代码所需的身份验证级别。 虽然大约三分之一的漏洞需要访问管理员帐户(降低被利用的风险),但 22% 的已披露漏洞完全不需要身份验证或仅需要订阅者级帐户。
恶意软件攻击仍然普遍
Jetpack Scan(使用 WPScan 数据库)识别出数量惊人的 70,000 个网站,其中至少有一个恶意文件。 大多数原因都可以追溯到(您猜对了!)泄露/薄弱的凭据或无效的软件。
75%(600,000 个恶意文件)被确定为一般恶意软件。
现有工具正在发挥作用
Jetpack 防火墙阻止了超过 700 万个涉及高严重性漏洞的请求,从而防止了对危险站点的无数 XSS 攻击。
报告指出,
Jetpack 防火墙虽然是Jetpack 安全套件的最新成员,但它通过在周期的早期阻止潜在的攻击、防止攻击者在受保护的站点上站稳脚跟,证明了自己的价值。
Jetpack 防火墙还阻止了超过 50 万次SQL 注入和路径遍历攻击。
网络安全和 WordPress 专业人士下一步应该做什么?
如果您不知道要寻找什么,就无法阻止攻击。 WPScan 提供最强大、最新的已验证威胁库。 开发人员和网络安全专业人员可以通过 API 将其整合到他们的内部程序中,以增强他们的防御能力。
Web 安全团队还可以使用 WPScan 的 CLI 扫描程序作为渗透测试的一部分。 它提供了黑客无需身份验证即可查看您网站的信息的外部视图。
开发人员和企业组织应立即联系 WPScan,看看它是否是最适合他们操作的工具。
WordPress 网站所有者下一步应该做什么?
WPScan 对 WordPress 安全生态系统的评估表明威胁仍然存在。 好消息是,最普遍的攻击可以很容易地被阻止。 WordPress 网站所有者可以通过 Jetpack Protect 使用 WPScan 数据库,并通过 Jetpack Security 访问全套预防和恢复工具。
实施强身份验证
弱密码不仅是网络安全中最常见的弱点,也是最容易修复的弱点之一。 您可以要求用户提供强密码,并教育您的团队了解密码最佳实践,例如混合使用数字、字母和特殊字符、为每个站点提供唯一的凭据以及定期更新密码。
您可能还需要双因素身份验证,尤其是在管理员级别帐户上。
分配适当的用户角色并遵循最小权限原则
WordPress 用户角色非常强大,因为它们允许您根据个人的职责范围授予对特定功能的访问权限。 限制分配的高级角色数量可以减少访问点的数量,并允许加强有关密码和安全身份验证的教育和问责制。
这被称为最小权限原则,用户只能访问其必要工作职能所需的最低角色。
保持核心、主题和插件最新
除了弱密码之外,过时的软件也是成功攻击的最常见根源。 您的网站应该使用最新版本的 WordPress 核心、您的主题以及已安装的任何插件。
当发现漏洞时,信誉良好的插件开发人员将发布更新来修补它们。 忽略这些更新会让您的网站暴露在外。
安装 WordPress 安全插件
为了获得最完整的保护,网站所有者需要超越强密码、更新的软件和正确的用户角色分配。 经验丰富的 WordPress 专业人士知道,正确的 WordPress 安全插件将有助于防止入侵,并在入侵时提供恢复选项。
如果您想要以最少的复杂性提供全面的保护 - Jetpack Security 就是您需要的解决方案。 以下只是其中的一些内容:
- 停机监控。 其次,了解您的网站存在问题,以便您可以立即采取措施。
- 网站防火墙。 WPScan 的报告多次提到 Jetpack 防火墙阻止的攻击。 使用 Jetpack Security 访问它。
- 实时恶意软件扫描和一键修复。 访问 WPScan 的完整数据库并持续扫描您的网站是否存在恶意软件和漏洞。 更好的是,您还可以获得大多数问题的一键解决方案。
不需要完整的安全插件,但想要访问 WPScan 的数据库以进行漏洞和恶意软件扫描? 这些功能也可在独立插件Jetpack Protect中使用。
- 实时备份。 请记住,您还需要一种恢复方法,以防攻击者成功。 Jetpack VaultPress Backup 会保存站点上的所有内容并记录所有活动。 及时恢复到准确的时刻并查看日志以排除故障并防止将来出现问题。 即使您的网站完全关闭,您也可以从移动设备访问和恢复备份。
- 垃圾邮件防护。 不需要的、不相关的评论和表单提交不仅令人烦恼,而且对您和您的访问者来说都是危险的。 Jetpack Security 附带 Akismet 反垃圾邮件功能,因此您可以防止 99% 的垃圾邮件,而无需强迫访问者完成令人恼火的验证码。
- 暴力攻击防护。 暴力攻击是一种非常常见的 WordPress 威胁。 Jetpack Security 也可以轻松阻止它们。
Jetpack 和 WPScan:携手打造更安全的 WordPress
WPScan 的团队孜孜不倦地维护最准确的 WordPress 漏洞数据库。 WordPress 专业人士和企业组织可以与 WPScan 工具集成,以获得最先进的保护。
WordPress 网站所有者通过 Jetpack Security 以及其他安全工具访问相同的信息。 这个安全插件只需最少的麻烦和持续的努力即可开始工作。 您的网站受到简单的保护。
了解有关 Jetpack 安全性的更多信息。
了解有关 WPScan 的更多信息。