基於事實和統計數據的 WordPress 安全性

已發表: 2022-12-12

由於使用它的人數眾多,WordPress 是惡意黑客的常見目標。 有人估計互聯網上的 WordPress 網站總數為 4.55 億。 這意味著 WordPress 運行著互聯網上所有網站的 43.1%。

有趣的數據

找出有多少網站被黑是很棘手的。 有幾個原因。 眾所周知,黑客事件的報導不足。 除非法律強制披露事件,否則許多管理員和網站所有者都不願意這樣做。 許多人不知道他們已被黑客入侵,因此無法報告。

考慮到這些警告,網絡風險和隱私管理解決方案提供商 IT Governance 僅在 2021 年就報告了約 51 億次(B 級)違規事件。 該數字包括所有違規行為。 查看另一份報告,這次是 Sophos,每天有 30,000 個網站(平均)被黑客入侵。 這相當於每年有 1100 萬個網站遭到黑客攻擊。 我們知道 43% 的網站運行 WordPress,這讓我們可以做出有根據的猜測,即每年有 470 萬個 WordPress 網站遭到黑客攻擊。 每天有近 13,000 個 WordPress 網站遭到黑客攻擊。

這是一個非常大的數字——這引出了一個問題,為什麼 WordPress 被黑客攻擊的次數如此之多? 這正是我們將在本文中看到的——基於事實和統計數據。

WordPress——它有多安全,真的嗎?

WordPress 是一個開源項目,全世界有許多人積極致力於此。 WordPress 社區非常強大,其中包括一些您將遇到的最聰明、最忠誠的人。 有這麼多人參與並忽視了開發過程,WordPress 往往非常安全。

WordPress 的優勢也可能是它的垮台,當我們深入研究 WordPress 網站是如何被黑客入侵時,統計數據就會告訴我們。

WordPress 最大的優點和缺點

沒有系統是完美的,這也適用於 WordPress 核心。 WordPress 核心代表在進行任何更改(例如插件、主題和配置)之前的核心文件。 事實上,根據 Sucuri 的 WordPress 黑客統計報告,WordPress Core 佔 2021 年所有漏洞的 0.58%。 這僅佔所有事件的百分之一的一半多一點。

接下來是主題和插件 - 按此順序。 事實上,主題佔所有漏洞的 6.61%,而插件佔高達 92.81%。

Sucuri 根據主題和插件是免費的還是付費的進一步細分。 雖然付費主題和插件佔所有第 3 方漏洞的 8.62%,但免費的主題和插件佔 91.38%。

為什麼好的插件要花錢

出現這種情況的原因有很多。 插件和主題有各種形狀和大小——從信譽良好的開發人員到陰暗的開發人員。 事情的真相是,如果做得好,插件開發並不便宜。 全職專業開發人員需要在維護良好的基礎設施的同時獲得報酬,測試設施也會增加費用。

這並不是說所有免費插件都會構成安全威脅——遠非如此。 許多開發人員將他們的空閒時間用於製作高質量的免費插件。 但是,如果您想要一個經過廣泛測試和支持的插件,那麼高級插件可能是您的不二之選。

WordPress 漏洞——數字

已知的 WordPress 漏洞數量每年呈上升趨勢。 事實上,WPScan 在其數據庫中添加了 1,437 個新漏洞,而前一年為 514 個。 僅在 2022 年 11 月,就新增了 64 個漏洞。

考慮到我們之前討論的漏洞分佈,這些數字在查看可用的 WordPress 插件數量時是成立的。 在撰寫本文時,WordPress.org 存儲庫列出了超過 60,000 個可用的插件,並且每天都會添加更多插件。 插件也可以直接從開發人員處購買或從非官方來源下載。

由於不斷變化的 WordPress 漏洞情況,有針對性的攻擊是例外而不是規則。 隨著舊漏洞得到修補並引入新漏洞,黑客會發現很難跟上。 它還使有針對性的攻擊非常耗時,這就是為什麼大多數攻擊都是自動化的。

自動攻擊使用一種工具來自動掃描許多網站,並在發現漏洞時發出警報。 正因為如此,大多數攻擊都是不分青紅皂白的,而不是出於怨恨。 但是黑客使用什麼工具來進行這種自動攻擊呢? 讓我們找出來。

WordPress 網站是如何被黑客入侵的

WordPress 可以通過許多不同的方式被黑客入侵——黑客在追踪目標方面可以非常有創意。 這使得列出 WordPress 網站可能被黑客攻擊的所有方式變得不可能和危險,因為它可能會提供一種錯誤的安全感。 但是,我們可以看一個示例來說明黑客通常可能採取的入侵 WordPress 網站的過程。

WPScan – 一個 WordPress 漏洞掃描器

wps掃描
WPScan 界面:WordPress 安全掃描

黑客經常使用的一種常用工具稱為 WPScan。 它是一個免費工具,可以在線輕鬆獲得。 它是一個漏洞掃描器,可以掃描 WordPress 網站並識別已知問題和不安全的配置。 使用 WPScan 啟動默認的 WordPress 安全掃描時,您會立即發現:

  • WordPress 版本
  • 安裝的插件,它們的版本,以及它們的安裝路徑
  • 已安裝的主題、它們的版本以及它們的安裝路徑

WPScan 包括其他功能,例如 WordPress 用戶枚舉掃描。 這些掃描識別並枚舉在 WordPress 網站上註冊的所有用戶,讓黑客深入了解您的 WordPress 的功能。 有了這些信息,黑客就可以發起二次攻擊,例如 WordPress 密碼暴力攻擊來獲得對您系統的訪問權限。

在這裡,重要的是要注意為什麼 WordPress 密碼安全對 WordPress 網站的整體安全性如此重要。 弱密碼使得暴力攻擊相對容易突破。 同樣,確保所有帳戶都使用強密碼也很重要。 受感染的貢獻者帳戶可能無法造成太大的損害,但通過在受感染的網站上提升權限,攻擊者可以獲得管理權限以造成嚴重破壞。

黑客為什麼要入侵

一旦壞人設法獲得了對您的 WordPress 網站的訪問權限,他們就可以採取多種措施,例如:

  • 創建一個具有管理員權限的新帳戶
  • 重置現有帳戶的密碼以確保其他用戶無法重新獲得對其 WordPress 的訪問權限
  • 更改現有休眠帳戶的角色
  • 更改內容以注入惡意代碼
  • 篡改 WordPress 源代碼文件以添加惡意代碼,例如後門程序
  • 在 htaccess 文件中添加重定向

保護您的 WordPress 免受攻擊

正如我們所見,不良行為者可以採取多種方法來破壞 WordPress 網站。 因此,按理說,保護 WordPress 網站需要更全面的方法,而不是簡單地確保用戶擁有密碼。

  • 研究——無論您是在尋找 WordPress 託管服務提供商還是新插件,請務必先花時間檢查一下。 論壇可以幫助您快速了解客戶對產品或服務的感受,而插件應該有頻繁的更新和強大的客戶支持。
  • 測試– 為您的 WordPress 選擇最好的插件不一定是猜謎遊戲。 大多數信譽良好的插件提供商都提供免費試用其高級插件。 這允許您在提交之前測試它們。

一旦你弄清楚了你的設置,你需要確保它被正確配置以獲得最大的安全性。 配置安全的 WordPress 不是一次性的工作,而是一個持續的過程,包括:

  • 強密碼– 強密碼策略可以幫助您確保暴力攻擊在成功之前耗盡時間。 使用大小寫字母、數字和特殊字符的健康組合。 此外,設置密碼過期策略以確保經常更改密碼。
  • 2FA – 2FA,雙因素身份驗證的縮寫,為您的 WordPress 登錄添加額外的身份驗證層。 使用 2FA 時,即使暴力破解成功,如果無法訪問您的智能手機,黑客也無法登錄。
  • 更新——讓 WordPress、插件和主題始終保持最新。 正如最近的調查所示,可以通過不同的方式實施 WordPress 更新。 這可以幫助您在不費吹灰之力的情況下平衡管理和安全需求。
  • 監控——使用 WP 活動日誌等安全插件密切關注用戶和系統活動。 這將幫助您儘早發現可疑行為並在造成損害之前將其關閉。

這絕不是一個詳盡的清單,但它是一個很好的起點。 WordPress 安全性是一個不斷發展的話題,需要不斷維護。 關注 WordPress 安全博客是了解最新信息的一種方式,也是您可以在早上喝咖啡時閱讀的內容。

確保 WordPress 安全

WordPress 安全性是一個循環,而不是一個有始有終的過程。 它需要持續關注和調整以應對不斷變化的威脅。 雖然這聽起來像是工作量太大,但通常情況下,維護總比修理好。 通過每月投入幾個小時,您可以大大降低安全風險,幫助您確保您的網站持續發展。