Risultati del sondaggio sulla sicurezza di WordPress 2022

Pubblicato: 2022-09-06

Di recente abbiamo condotto un sondaggio per comprendere meglio lo stato della sicurezza di WordPress. Il sondaggio era aperto a tutti e includeva diverse domande relative alla sicurezza di WordPress. Questo rapporto descrive in dettaglio i nostri risultati.

Perché questo sondaggio?

La sicurezza di WordPress è un argomento essenziale nella mente di molti amministratori e proprietari di siti Web. A causa della sua natura aperta e iterativa, non è sempre facile capire se i tuoi sforzi vanno abbastanza lontano o se ci sono aree che richiedono ulteriore attenzione e sviluppo. Ciò è particolarmente vero quando si destreggiano più cose contemporaneamente, come spesso accade con la gestione di siti Web WordPress.

A tal fine, abbiamo cercato di ottenere un'istantanea dello stato della sicurezza di WordPress. Sebbene il sondaggio non copra tutti gli aspetti, è comunque sufficiente per fornire un quadro generale della sicurezza generale di WordPress.

Quanto è importante per te la sicurezza di WordPress?

La prima domanda che abbiamo posto ha esaminato l'importanza della sicurezza di WordPress per gli amministratori di WordPress e i proprietari di siti Web. Non sorprende che la stragrande maggioranza degli intervistati consideri essenziale la sicurezza di WordPress. In effetti, il 96% degli intervistati considera la sicurezza di WordPress molto importante, mentre il 4% degli intervistati la considera piuttosto importante.

Mentre la stragrande maggioranza considera la sicurezza di WordPress molto importante, la quantità di tempo dedicata alla protezione di WordPress varia considerevolmente. Vedremo queste cifre in seguito.

Tempo totale dedicato alle attività di sicurezza

Una percentuale più significativa di amministratori dedica da una a tre ore al mese per attività di sicurezza, mentre il 35% degli intervistati dedica più di tre ore. Il 22% trascorre meno di un'ora al mese. Sebbene questa sia la minoranza, rappresenta ancora una percentuale considerevole di tutti gli intervistati.

Una cosa che è importante notare qui è che il tempo dedicato alle attività di sicurezza tende a variare nel tempo. In genere, viene speso molto tempo durante la configurazione iniziale. Una volta che tutto è pronto e funzionante, in genere viene dedicato meno tempo alle attività relative alla sicurezza con poche ore al mese sufficienti per coprire la manutenzione continua. Anche le dimensioni e la complessità dei siti Web possono svolgere un ruolo considerevole nel tempo speso.

Protezione avanzata di WordPress e best practices

L'indurimento di WordPress è un processo di best practice che mira a ridurre la superficie di attacco dei siti Web WordPress. Nessuno standard concordato definisce ciò che va in un esercizio di rafforzamento; tuttavia, ciò comporta in genere attività come la limitazione dell'API REST e la disabilitazione dell'editor di file, tra le altre cose.

Quando abbiamo chiesto agli intervistati se avessero mai intrapreso un simile esercizio di rafforzamento della sicurezza di WordPress, la stragrande maggioranza - l'85% ha risposto di sì. Il 28% ha rafforzato manualmente il proprio sito Web WordPress, mentre il 26% ha utilizzato un plug-in o un servizio. Il 31% utilizzava un plug-in ed eseguiva processi manuali. Solo il 15% degli intervistati non ha intrapreso alcun esercizio di rafforzamento.

Grafico 3

Aggiornamenti e test

Gli aggiornamenti sono un altro aspetto critico della sicurezza di WordPress. Lo stesso WordPress, così come i plugin e i temi, ricevono aggiornamenti regolari, o almeno dovrebbero. La gestione di questi aggiornamenti è essenziale poiché spesso includono correzioni di bug e falle di sicurezza presenti nella versione corrente (installata).

Il 52% degli intervistati ha gli aggiornamenti automatici abilitati per i componenti che includono WordPress, plugin e temi, mentre il 48% non ha gli aggiornamenti automatici abilitati. Ovviamente, non abilitare gli aggiornamenti automatici non è necessariamente un rischio per la sicurezza poiché molti amministratori scelgono di testare gli aggiornamenti prima di implementarli nell'ambiente live.

In effetti, il 25% degli intervistati testa sempre gli aggiornamenti in un ambiente di test o staging, mentre il 26% testa solo gli aggiornamenti principali. Inoltre, il 32% degli amministratori intervistati a volte testa gli aggiornamenti, mentre il 17% non testa mai gli aggiornamenti, indipendentemente dall'impatto che potrebbero avere sui propri siti Web.

Aggiorna la strategia

Sebbene sia gli aggiornamenti automatici di WordPress che i test di aggiornamento abbiano i loro meriti, la strategia utilizzata può dipendere dall'ambiente. Un sito di eCommerce ad alto rischio potrebbe voler testare gli aggiornamenti prima di implementarli, poiché un'interruzione può significare una perdita di entrate. D'altra parte, il proprietario di un sito Web che preferisce essere il più possibile libero può attivare gli aggiornamenti automatici per mantenere il proprio sito Web sicuro senza doverlo gestire attivamente.

Pertanto, abbiamo pensato che sarebbe stato interessante vedere cosa impiegano gli amministratori della strategia generale quando si tratta di aggiornamenti.

Aggiornamenti automatici e test Percentuale
Aggiornamenti automatici abilitati e talvolta verifica gli aggiornamenti 19
Aggiornamenti automatici disabilitati e verifica sempre gli aggiornamenti 16
Aggiornamenti automatici disabilitati e verifica solo gli aggiornamenti principali 15
Aggiornamenti automatici disabilitati e talvolta verifica gli aggiornamenti
13
Aggiornamenti automatici abilitati e non testano mai gli aggiornamenti 13
Aggiornamenti automatici abilitati e verifica solo gli aggiornamenti principali 11
Aggiornamenti automatici abilitati e verifica sempre gli aggiornamenti 9
Aggiornamenti automatici disabilitati e non testano mai gli aggiornamenti 4

Sebbene la maggior parte delle persone abbia abilitato una qualche forma di aggiornamento automatico, molti amministratori eseguono ancora una qualche forma di test prima di distribuire gli aggiornamenti al proprio ambiente live. In effetti, solo il 17% di tutti gli intervistati non testa mai gli aggiornamenti.

Utilizzo del plug-in di sicurezza

Ai partecipanti al sondaggio è stato anche chiesto di utilizzare il loro utilizzo dei plug-in di sicurezza. Un'attenzione particolare è stata posta su firewall, 2FA, registri delle attività di WordPress e plug-in per la sicurezza delle password.

La stragrande maggioranza degli intervistati ha un plug-in firewall installato nei propri ambienti, con l'81% che afferma di averne uno o più installati. Al contrario, il 19% non ha installato alcun plug-in del firewall.

2FA non è così popolare come i firewall, nonostante aziende come Microsoft e Google si siano radunate dietro questo modo più sicuro di accedere a WordPress. In effetti, solo il 64% degli intervistati utilizza la 2FA sul proprio sito Web, mentre il 36% no.

I plug-in del registro attività sono tanto popolari quanto i plug-in 2FA, con il 65% degli intervistati che ne utilizza uno.

Quando si tratta di sicurezza delle password, il 38% degli intervistati si fida che i propri utenti utilizzino password WordPress sicure. D'altra parte, il 40% utilizza un plug-in per la sicurezza della password di WordPress, mentre il 22% sta valutando di utilizzarne uno.

I migliori plugin

Grafico 5

I primi tre plugin per firewall I primi tre plugin 2FA I primi tre plugin per il registro delle attività
Recinzione di parole - 49% Recinzione di parole - 25% Registro attività WP - 42%

Sucuri - 7% WP 2FA - 22% Storia semplice - 7%
Sicurezza iThemes - 2,5% iTemi - 2,5% Registro attività - 7%

Trarre conclusioni e una via da seguire

I risultati mostrano un forte interesse per la sicurezza di WordPress, il che è incoraggiante. Allo stesso modo, molti amministratori e proprietari di siti Web stanno prendendo provvedimenti per garantire che i loro siti Web siano sicuri. Eppure, un po' di lavoro deve ancora essere fatto.

Sebbene 2FA, in una forma o nell'altra, sia in circolazione da un po' di tempo, deve ancora recuperare. I plug-in del firewall continuano a godere di un'enorme popolarità e, per quanto validi, non possono proteggere i siti Web WordPress da violazioni delle credenziali. Ciò rende i plug-in 2FA essenziali per la sicurezza generale dei siti Web WordPress.

Va detto che questa è solo un'istantanea di come gli amministratori di WordPress e i proprietari di siti Web vedono la sicurezza. È anche importante notare che le domande in questo sondaggio riguardano solo le basi della sicurezza di WordPress. Se sei seriamente intenzionato a proteggere i tuoi siti web, assicurati di seguire il nostro blog, dove trattiamo numerosi argomenti sulla sicurezza di WordPress.