Ergebnisse der WordPress-Sicherheitsumfrage 2022

Veröffentlicht: 2022-09-06

Wir haben kürzlich eine Umfrage durchgeführt, um den Stand der WordPress-Sicherheit besser zu verstehen. Die Umfrage stand allen offen und umfasste mehrere Fragen zur WordPress-Sicherheit. Dieser Bericht beschreibt unsere Ergebnisse.

Warum diese Umfrage?

WordPress-Sicherheit ist ein wesentliches Thema, das viele Administratoren und Website-Besitzer beschäftigt. Aufgrund seiner offenen und iterativen Natur ist es nicht immer leicht zu verstehen, ob Ihre Bemühungen weit genug gehen oder ob es Bereiche gibt, die weiterer Aufmerksamkeit und Entwicklung bedürfen. Dies gilt insbesondere, wenn Sie mit mehreren Dingen gleichzeitig jonglieren – wie es häufig bei der Verwaltung von WordPress-Websites der Fall ist.

Zu diesem Zweck haben wir versucht, eine Momentaufnahme des Sicherheitszustands von WordPress zu erhalten. Die Umfrage deckt zwar nicht alle Aspekte ab, reicht aber dennoch aus, um ein übergreifendes Bild der allgemeinen WordPress-Sicherheit zu zeichnen.

Wie wichtig ist Ihnen WordPress-Sicherheit?

Die erste Frage, die wir gestellt haben, befasste sich mit der Bedeutung der WordPress-Sicherheit für WordPress-Administratoren und Website-Eigentümer. Es überrascht nicht, dass die überwiegende Mehrheit der Befragten die WordPress-Sicherheit als wesentlich ansieht. Tatsächlich halten 96 % der Befragten die WordPress-Sicherheit für sehr wichtig, während 4 % der Befragten sie für etwas wichtig halten.

Während die überwiegende Mehrheit die WordPress-Sicherheit als sehr wichtig ansieht, variiert der Zeitaufwand für die Sicherung von WordPress erheblich. Wir werden uns diese Zahlen als nächstes ansehen.

Gesamtzeit, die für Sicherheitsaufgaben aufgewendet wurde

Ein bedeutenderer Prozentsatz der Administratoren verbringt zwischen einer und drei Stunden pro Monat mit Sicherheitsaufgaben, während 35 % der Befragten mehr als drei Stunden damit verbringen. 22 % verbringen weniger als eine Stunde pro Monat. Dies ist zwar eine Minderheit, stellt aber immer noch einen beträchtlichen Prozentsatz aller Befragten dar.

Eine Sache, die hier wichtig ist, ist, dass die Zeit, die für Sicherheitsaufgaben aufgewendet wird, im Laufe der Zeit tendenziell variiert. Typischerweise wird während der anfänglichen Einrichtung viel Zeit aufgewendet. Sobald alles in Betrieb ist, wird im Allgemeinen weniger Zeit für sicherheitsrelevante Aufgaben aufgewendet, da einige Stunden pro Monat ausreichen, um die laufende Wartung abzudecken. Auch die Größe und Komplexität der Websites kann einen erheblichen Einfluss auf den Zeitaufwand haben.

WordPress-Härtung und Best Practices

WordPress Hardening ist ein Best-Practice-Prozess, der darauf abzielt, die Angriffsfläche von WordPress-Websites zu reduzieren. Kein vereinbarter Standard definiert, was in eine Härtungsübung einfließt; Dies beinhaltet jedoch typischerweise Aktivitäten wie unter anderem das Einschränken der REST-API und das Deaktivieren des Dateieditors.

Als wir die Befragten fragten, ob sie jemals eine solche WordPress-Sicherheitshärtung durchgeführt hätten, antwortete die überwiegende Mehrheit – 85 %, dass sie dies getan hätten. 28 % haben ihre WordPress-Website manuell gehärtet, während 26 % ein Plugin oder einen Dienst verwendet haben. 31 % nutzten ein Plugin und führten manuelle Prozesse durch. Lediglich 15 % der Befragten unternahmen keine Abhärtungsübungen.

Diagramm 3

Aktualisierungen und Tests

Updates sind ein weiterer kritischer Aspekt der WordPress-Sicherheit. WordPress selbst sowie Plugins und Themes werden regelmäßig aktualisiert – oder sollten es zumindest. Die Verwaltung dieser Updates ist unerlässlich, da sie häufig Korrekturen für Fehler und Sicherheitslücken enthalten, die in der aktuellen (installierten) Version vorhanden sind.

52 % der Befragten haben automatische Updates für Komponenten aktiviert, zu denen WordPress, Plugins und Designs gehören, während 48 % keine automatischen Updates aktiviert haben. Natürlich ist die Nichtaktivierung automatischer Updates nicht unbedingt ein Sicherheitsrisiko, da viele Administratoren sich dafür entscheiden, Updates zu testen, bevor sie in der Live-Umgebung bereitgestellt werden.

Tatsächlich testen 25 % der Befragten Updates immer in einer Test- oder Staging-Umgebung, während 26 % nur größere Updates testen. Darüber hinaus testen 32 % der befragten Administratoren manchmal Updates, während 17 % niemals Updates testen – unabhängig von den Auswirkungen, die sie auf ihre Websites haben könnten.

Aktualisiert die Strategie

Während sowohl automatische WordPress-Updates als auch Update-Tests ihre Vorzüge haben, kann die verwendete Strategie von der Umgebung abhängen. Eine High-Stakes-E-Commerce-Website möchte möglicherweise Updates testen, bevor sie eingeführt werden, da ein Ausfall einen Umsatzverlust bedeuten kann. Auf der anderen Seite kann ein Website-Besitzer, der es vorzieht, so viel wie möglich loszulassen, automatische Updates einschalten, um seine Website sicher zu halten, ohne sie allzu sehr aktiv verwalten zu müssen.

Daher dachten wir, es wäre interessant zu sehen, welche allgemeine Strategie Administratoren anwenden, wenn es um Updates geht.

Automatische Updates und Tests Prozentsatz
Auto-Updates aktiviert und testet manchmal Updates 19
Auto-Updates deaktiviert und testet Updates immer 16
Auto-Updates deaktiviert und testet nur größere Updates fünfzehn
Auto-Updates deaktiviert und testet manchmal Updates
13
Auto-Updates aktiviert und testet Updates nie 13
Auto-Updates aktiviert und testet nur größere Updates 11
Auto-Updates aktiviert und testet Updates immer 9
Automatische Updates deaktiviert und Updates nie getestet 4

Während die Mehrheit der Menschen irgendeine Form von automatischen Updates aktiviert hat, führen viele Administratoren immer noch irgendeine Form von Tests durch, bevor sie Updates in ihrer Live-Umgebung bereitstellen. Tatsächlich testen nur 17 % aller Befragten niemals Updates.

Verwendung von Sicherheits-Plugins

Die Umfrageteilnehmer wurden auch nach ihrer Verwendung von Sicherheits-Plugins gefragt. Ein besonderer Fokus lag auf Firewalls, 2FA, WordPress-Aktivitätsprotokollen und Passwortsicherheits-Plugins.

Die überwiegende Mehrheit der Befragten hat ein Firewall-Plug-in in ihrer Umgebung installiert, wobei 81 % angeben, dass sie eines oder mehrere installiert haben. Umgekehrt haben 19 % keine Firewall-Plugins installiert.

2FA ist nicht so beliebt wie Firewalls, obwohl Unternehmen wie Microsoft und Google hinter dieser sichereren Art der Anmeldung bei WordPress stehen. Tatsächlich verwenden nur 64 % der Befragten 2FA auf ihrer Website, während 36 % dies nicht tun.

Aktivitätsprotokoll-Plugins sind genauso beliebt wie 2FA-Plugins, wobei 65 % der Befragten eines verwenden.

Wenn es um Passwortsicherheit geht, vertrauen 38 % der Befragten darauf, dass ihre Benutzer sichere WordPress-Passwörter verwenden. Auf der anderen Seite verwenden 40 % ein WordPress-Passwortsicherheits-Plugin, während 22 % erwägen, eines zu verwenden.

Top-Plugins

Diagramm 5

Die drei besten Firewall-Plugins Die drei besten 2FA-Plugins Die drei besten Aktivitätsprotokoll-Plugins
WordFence - 49 % Wordfence - 25 % WP-Aktivitätsprotokoll - 42 %

Sucuri - 7% WP 2FA - 22% Einfache Geschichte - 7%
iThemes-Sicherheit - 2,5 % iThemes - 2,5 % Aktivitätsprotokoll - 7 %

Schlussfolgerungen ziehen und einen Weg nach vorn

Die Ergebnisse zeigen ein starkes Interesse an WordPress-Sicherheit, was ermutigend ist. Ebenso ergreifen viele Administratoren und Websitebesitzer Maßnahmen, um die Sicherheit ihrer Websites zu gewährleisten. Dennoch müssen noch einige Arbeiten erledigt werden.

Während 2FA in der einen oder anderen Form schon seit geraumer Zeit existiert, muss es noch aufholen. Firewall-Plugins erfreuen sich nach wie vor großer Beliebtheit, und so gut sie auch sind, sie können WordPress-Websites nicht vor Anmeldeinformationen schützen. Dies macht 2FA-Plugins für die Gesamtsicherheit von WordPress-Websites unerlässlich.

Es muss gesagt werden, dass dies nur eine Momentaufnahme davon ist, wie WordPress-Administratoren und Website-Eigentümer die Sicherheit sehen. Es ist auch wichtig zu beachten, dass die Fragen in dieser Umfrage nur die Grundlagen der WordPress-Sicherheit abdecken. Wenn Sie es mit dem Schutz Ihrer Websites ernst meinen, folgen Sie unbedingt unserem Blog, in dem wir zahlreiche Themen zur WordPress-Sicherheit behandeln.