نتائج المسح الأمني ​​لـ WordPress 2022

نشرت: 2022-09-06

أجرينا مؤخرًا استبيانًا للحصول على فهم أفضل لحالة أمان WordPress. كان الاستطلاع مفتوحًا للجميع وشمل العديد من الأسئلة المتعلقة بالأمان في WordPress. هذا التقرير تفاصيل النتائج التي توصلنا إليها.

لماذا هذا المسح؟

يعد أمان WordPress موضوعًا أساسيًا في أذهان العديد من المسؤولين ومالكي مواقع الويب. نظرًا لطبيعته المفتوحة والمتكررة ، ليس من السهل دائمًا فهم ما إذا كانت جهودك تذهب بعيدًا بما فيه الكفاية أو ما إذا كانت هناك مجالات تتطلب مزيدًا من الاهتمام والتطوير. هذا صحيح بشكل خاص عند التلاعب بالعديد من الأشياء في وقت واحد - كما هو الحال غالبًا مع إدارة مواقع WordPress.

تحقيقًا لهذه الغاية ، سعينا للحصول على لقطة لحالة أمان WordPress. في حين أن الاستطلاع لا يغطي جميع الجوانب ، إلا أنه لا يزال كافياً لتقديم صورة شاملة عن أمان WordPress العام.

ما مدى أهمية أمان WordPress بالنسبة لك؟

نظر السؤال الأول الذي طرحناه في أهمية أمان WordPress لمديري WordPress وأصحاب مواقع الويب. ليس من المستغرب أن الغالبية العظمى من المستجيبين يرون أن أمان WordPress ضروري. في الواقع ، يرى 96٪ من المستجيبين أن أمان WordPress مهم جدًا ، بينما يرى 4٪ من المستجيبين أنه مهم إلى حد ما.

في حين أن الغالبية العظمى ترى أن أمان WordPress مهم للغاية ، فإن مقدار الوقت المخصص لتأمين WordPress يختلف اختلافًا كبيرًا. سوف ننظر إلى هذه الأرقام بعد ذلك.

إجمالي الوقت المنقضي في مهام الأمان

تقضي نسبة مئوية أكبر من المسؤولين ما بين ساعة وثلاث ساعات شهريًا في المهام الأمنية ، بينما يقضي 35٪ من المستجيبين أكثر من ثلاث ساعات. 22٪ يقضون أقل من ساعة واحدة في الشهر. في حين أن هذه هي الأقلية ، إلا أنها لا تزال تمثل نسبة كبيرة من جميع المستجيبين.

الشيء الوحيد الجدير بالملاحظة هنا هو أن الوقت الذي يتم قضاؤه في مهام الأمان يميل إلى الاختلاف بمرور الوقت. عادة ، يتم إنفاق وقت كبير أثناء الإعداد الأولي. بمجرد أن يتم تشغيل كل شيء ، يتم إنفاق وقت أقل بشكل عام في المهام المتعلقة بالأمان مع بضع ساعات في الشهر كافية لتغطية الصيانة المستمرة. يمكن أن يلعب حجم وتعقيد مواقع الويب أيضًا دورًا كبيرًا في مقدار الوقت الذي يتم إنفاقه.

تصلب ووردبريس وأفضل الممارسات

يعد تقوية WordPress من أفضل الممارسات التي تهدف إلى تقليل سطح الهجوم لمواقع WordPress. لا يوجد معيار متفق عليه يحدد ما يدخل في تمرين التقوية ؛ ومع ذلك ، يتضمن هذا عادةً أنشطة مثل تقييد واجهة برمجة تطبيقات REST وتعطيل محرر الملفات ، من بين أشياء أخرى.

عندما سألنا المستجيبين عما إذا كانوا قد أجروا أيًا من هذه الممارسات الأمنية في WordPress ، أجابت الغالبية العظمى - 85٪ منهم. قام 28٪ بتقوية موقع WordPress يدويًا ، بينما استخدم 26٪ مكونًا إضافيًا أو خدمة. 31٪ استخدموا مكونًا إضافيًا ونفذوا عمليات يدوية. فقط 15٪ من المبحوثين لم يقوموا بأي تمارين تقوية.

الرسم البياني 3

التحديثات والاختبار

تعد التحديثات جانبًا مهمًا آخر من جوانب أمان WordPress. يتلقى WordPress نفسه ، بالإضافة إلى المكونات الإضافية والسمات ، تحديثات منتظمة - أو على الأقل يجب عليهم ذلك. تعد إدارة هذه التحديثات أمرًا ضروريًا لأنها غالبًا ما تتضمن إصلاحات للأخطاء وثغرات أمنية موجودة في الإصدار الحالي (المثبت).

52٪ من المستجيبين قاموا بتمكين التحديثات التلقائية للمكونات التي تتضمن WordPress والمكونات الإضافية والسمات ، بينما 48٪ لم يتم تمكين التحديثات التلقائية. بالطبع ، لا يمثل عدم تمكين التحديثات التلقائية خطرًا أمنيًا بالضرورة لأن العديد من المسؤولين يختارون اختبار التحديثات قبل طرحها في البيئة الحية.

في الواقع ، يقوم 25٪ من المستجيبين دائمًا باختبار التحديثات في بيئة اختبار أو بيئة مرحلية ، بينما يختبر 26٪ التحديثات الرئيسية فقط. علاوة على ذلك ، يقوم 32٪ من المسؤولين الذين شملهم الاستطلاع أحيانًا باختبار التحديثات ، بينما لا يختبر 17٪ التحديثات مطلقًا - بغض النظر عن تأثيرها على مواقع الويب الخاصة بهم.

استراتيجية التحديثات

في حين أن كل من التحديثات التلقائية لـ WordPress واختبار التحديث لهما مزاياهما ، فإن الإستراتيجية التي يستخدمها المرء قد تعتمد على البيئة. قد يرغب أحد مواقع التجارة الإلكترونية عالية المخاطر في اختبار التحديثات قبل طرحها ، لأن انقطاع الخدمة قد يعني خسارة في الإيرادات. من ناحية أخرى ، قد يقوم مالك موقع الويب الذي يفضل عدم التدخل قدر الإمكان بتشغيل التحديثات التلقائية للحفاظ على أمان موقع الويب الخاص به دون الحاجة إلى إدارته بشكل نشط.

على هذا النحو ، اعتقدنا أنه سيكون من المثير للاهتمام معرفة ما يستخدمه مسؤولو الإستراتيجية العامة عندما يتعلق الأمر بالتحديثات.

التحديثات التلقائية والاختبار نسبة مئوية
تم تمكين التحديثات التلقائية وفي بعض الأحيان تختبر التحديثات 19
تم تعطيل التحديثات التلقائية واختبار التحديثات دائمًا 16
تم تعطيل التحديثات التلقائية واختبار التحديثات الرئيسية فقط 15
تم تعطيل التحديثات التلقائية وفي بعض الأحيان تختبر التحديثات
13
تم تمكين التحديثات التلقائية ولا تختبر التحديثات أبدًا 13
تم تمكين التحديثات التلقائية واختبار التحديثات الرئيسية فقط 11
تم تمكين التحديثات التلقائية واختبار التحديثات دائمًا 9
تم تعطيل التحديثات التلقائية ولا تختبر التحديثات أبدًا 4

على الرغم من تمكين غالبية الأشخاص من بعض أشكال التحديثات التلقائية ، لا يزال العديد من المسؤولين يقومون بإجراء بعض أشكال الاختبار قبل نشر التحديثات في بيئتهم الحية. في الواقع ، 17٪ فقط من جميع المستجيبين لم يختبروا التحديثات مطلقًا.

استخدام المكون الإضافي للأمان

تم سؤال المشاركين في الاستطلاع أيضًا عن استخدامهم لمكونات الأمان الإضافية. تم التركيز بشكل خاص على جدران الحماية ، 2FA ، سجلات نشاط WordPress ، ومكونات أمان كلمة المرور.

الغالبية العظمى من المستجيبين لديهم مكون إضافي لجدار الحماية مثبت في بيئاتهم ، مع ذكر 81٪ أن لديهم مكونًا إضافيًا أو أكثر مثبتًا. بالمقابل ، 19٪ ليس لديهم أي مكونات إضافية لجدار الحماية مثبتة.

2FA ليس شائعًا مثل جدران الحماية ، على الرغم من حشد شركات مثل Microsoft و Google وراء هذه الطريقة الأكثر أمانًا لتسجيل الدخول إلى WordPress. في الواقع ، يستخدم 64٪ فقط من المستجيبين المصادقة الثنائية على موقع الويب الخاص بهم ، بينما لا يستخدمه 36٪.

تعد المكونات الإضافية لسجل النشاط شائعة مثل المكونات الإضافية 2FA ، حيث يستخدم 65 ٪ من المستجيبين واحدة.

عندما يتعلق الأمر بأمان كلمات المرور ، يثق 38٪ من المستجيبين في أن مستخدميهم يستخدمون كلمات مرور آمنة لـ WordPress. من ناحية أخرى ، يستخدم 40٪ مكونًا إضافيًا لأمان كلمة مرور WordPress ، بينما يفكر 22٪ في استخدامه.

أهم الإضافات

الرسم البياني 5

أهم ثلاثة مكونات إضافية لجدار الحماية أعلى ثلاثة ملحقات 2FA أهم ثلاث إضافات لسجل النشاط
WordFence - 49٪ Wordfence - 25٪ سجل نشاط WP - 42٪

سوكوري - 7٪ WP 2FA - 22٪ التاريخ البسيط - 7٪
أمان iThemes - 2.5٪ iThemes - 2.5٪ سجل النشاط - 7٪

استخلاص النتائج والطريق إلى الأمام

تظهر النتائج اهتمامًا قويًا بأمان WordPress ، وهو أمر مشجع. وبالمثل ، يتخذ العديد من المسؤولين ومالكي مواقع الويب إجراءات لضمان أمان مواقعهم على الويب. ومع ذلك ، لا يزال هناك بعض العمل الذي يتعين القيام به.

في حين أن 2FA ، بشكل أو بآخر ، كانت موجودة منذ بعض الوقت ، فإنها لا تزال بحاجة إلى اللحاق بالركب. تستمر المكونات الإضافية لجدار الحماية في التمتع بشعبية هائلة ، وبقدر ما هي جيدة ، لا يمكنها حماية مواقع WordPress من انتهاكات بيانات الاعتماد. هذا يجعل الإضافات 2FA ضرورية للأمان العام لمواقع WordPress.

يجب أن يقال أن هذه ليست سوى لقطة لكيفية عرض مسؤولي WordPress ومالكي مواقع الويب للأمان. من المهم أيضًا ملاحظة أن الأسئلة الواردة في هذا الاستطلاع تغطي أساسيات أمان WordPress. إذا كنت جادًا في حماية مواقع الويب الخاصة بك ، فتأكد من متابعة مدونتنا ، حيث نغطي العديد من الموضوعات حول أمان WordPress.