2022 年 WordPress 安全調查結果
已發表: 2022-09-06我們最近進行了一項調查,以更好地了解 WordPress 的安全狀態。 該調查對所有人開放,包括幾個與 WordPress 安全相關的問題。 本報告詳細介紹了我們的發現。
為什麼要進行這項調查?
WordPress 安全性是許多管理員和網站所有者心中的一個重要話題。 由於其開放和迭代的性質,並不總是容易理解您的努力是否足夠遠,或者是否有需要進一步關注和發展的領域。 當同時處理多件事情時尤其如此——就像管理 WordPress 網站的情況一樣。
為此,我們試圖獲得 WordPress 安全狀態的快照。 儘管該調查並未涵蓋所有方面,但仍足以提供總體 WordPress 安全性的總體情況。
WordPress 安全性對您來說有多重要?
我們提出的第一個問題是關於 WordPress 安全性對 WordPress 管理員和網站所有者的重要性。 毫不奇怪,絕大多數受訪者認為 WordPress 安全性至關重要。 事實上,96% 的受訪者認為 WordPress 的安全性非常重要,而 4% 的受訪者認為它有點重要。
雖然絕大多數人認為 WordPress 的安全性非常重要,但用於保護 WordPress 的時間卻差別很大。 接下來我們將看看這些數字。
花費在安全任務上的總時間
更大比例的管理員每月在安全任務上花費一到三個小時,而 35% 的受訪者花費超過三個小時。 22% 的人每月花費不到一小時。 雖然這是少數,但仍佔所有受訪者的相當大比例。
這裡需要注意的一件事是,花在安全任務上的時間往往會隨著時間而變化。 通常,在初始設置期間會花費大量時間。 一旦一切啟動並運行,通常花在安全相關任務上的時間就會減少,每月只需幾個小時即可完成持續維護。 網站的規模和復雜性也可以在花費多少時間方面發揮相當大的作用。
WordPress 加固和最佳實踐
WordPress 加固是一個最佳實踐過程,旨在減少 WordPress 網站的攻擊面。 沒有公認的標准定義強化練習的內容; 但是,這通常涉及諸如限制 REST API 和禁用文件編輯器等活動。
當我們詢問受訪者是否曾經進行過任何此類 WordPress 安全強化練習時,絕大多數(85%)回答說他們做過。 28% 的人手動強化了他們的 WordPress 網站,而 26% 的人使用了插件或服務。 31% 使用插件並執行手動流程。 只有 15% 的受訪者沒有進行任何強化練習。
更新和測試
更新是 WordPress 安全性的另一個關鍵方面。 WordPress 本身以及插件和主題都會收到定期更新——或者至少它們應該收到更新。 管理這些更新至關重要,因為它們通常包括對當前(已安裝)版本中存在的錯誤和安全漏洞的修復。
52% 的受訪者為包括 WordPress、插件和主題在內的組件啟用了自動更新,而 48% 的受訪者沒有啟用自動更新。 當然,不啟用自動更新不一定是安全風險,因為許多管理員選擇在將更新推廣到實時環境之前對其進行測試。
事實上,25% 的受訪者總是在測試或臨時環境中測試更新,而 26% 的受訪者只測試主要更新。 此外,32% 的接受調查的管理員有時會測試更新,而 17% 的管理員從不測試更新——無論他們可能對他們的網站產生何種影響。
更新策略
雖然 WordPress 自動更新和更新測試都有其優點,但使用的策略可能取決於環境。 高風險電子商務網站可能希望在推出更新之前對其進行測試,因為中斷可能意味著收入損失。 另一方面,希望盡可能放手的網站所有者可能會打開自動更新以確保他們的網站安全,而無需積極管理它。
因此,我們認為看看管理員在更新時採用什麼整體策略會很有趣。
| 自動更新和測試 | 百分比 |
|---|---|
| 啟用自動更新,有時會測試更新 | 19 |
| 禁用自動更新並始終測試更新 | 16 |
| 禁用自動更新,僅測試主要更新 | 15 |
| 禁用自動更新,有時會測試更新 | 13 |
| 啟用自動更新,從不測試更新 | 13 |
| 啟用自動更新,僅測試主要更新 | 11 |
| 啟用自動更新並始終測試更新 | 9 |
| 自動更新被禁用並且從不測試更新 | 4 |
雖然大多數人都啟用了某種形式的自動更新,但許多管理員仍然會在將更新部署到他們的實時環境之前進行某種形式的測試。 事實上,只有 17% 的受訪者從未測試過更新。
安全插件使用
調查參與者還被問及使用安全插件的情況。 特別關注防火牆、2FA、WordPress 活動日誌和密碼安全插件。
絕大多數受訪者在他們的環境中安裝了防火牆插件,81% 的受訪者表示他們安裝了一個或多個。 相反,19% 的人沒有安裝任何防火牆插件。
儘管微軟和谷歌等公司支持這種更安全的 WordPress 登錄方式,但 2FA 並不像防火牆那麼受歡迎。 事實上,只有 64% 的受訪者在他們的網站上使用 2FA,而 36% 的人沒有。
活動日誌插件與 2FA 插件一樣受歡迎,65% 的受訪者使用一個。
在密碼安全方面,38% 的受訪者相信他們的用戶會使用安全的 WordPress 密碼。 另一方面,40% 的人使用 WordPress 密碼安全插件,而 22% 的人正在考慮使用一個。
熱門插件
| 三大防火牆插件 | 前三個 2FA 插件 | 前三個活動日誌插件 |
|---|---|---|
| WordFence - 49% | Wordfence - 25% | WP 活動日誌 - 42% |
| 蘇庫裡 - 7% | 可濕性粉劑 2FA - 22% | 簡單歷史 - 7% |
| iThemes 安全性 - 2.5% | iThemes - 2.5% | 活動日誌 - 7% |
得出結論和前進的道路
結果顯示出對 WordPress 安全性的濃厚興趣,這是令人鼓舞的。 同樣,許多管理員和網站所有者正在採取措施確保他們的網站安全。 然而,仍然需要做一些工作。
雖然 2FA 以一種或另一種形式出現已經有一段時間了,但它仍然需要迎頭趕上。 防火牆插件繼續廣受歡迎,儘管它們很好,但它們無法保護 WordPress 網站免受憑據洩露。 這使得 2FA 插件對 WordPress 網站的整體安全性至關重要。
不得不說,這只是 WordPress 管理員和網站所有者如何看待安全性的一個快照。 同樣重要的是要注意,本調查中的問題僅涵蓋 WordPress 安全性的基礎知識。 如果您認真對待保護您的網站,請務必關注我們的博客,我們在其中涵蓋了有關 WordPress 安全性的眾多主題。