Securitate WordPress bazată pe fapte și statistici

Publicat: 2022-12-12

WordPress este o țintă comună pentru hackerii rău intenționați datorită numărului mare de persoane care îl folosesc. Unele estimări estimează numărul total de site-uri web WordPress de pe internet la 455 de milioane. Aceasta înseamnă că WordPress rulează 43,1% din toate site-urile de pe internet.

Statistici interesante

Este dificil să afli câte site-uri web sunt piratate. Există mai multe motive pentru aceasta. Incidentele de hacking sunt subraportate în mod notoriu. Cu excepția cazului în care sunt obligați prin lege să dezvăluie incidente, mulți administratori și proprietari de site-uri web sunt reticenți în a face acest lucru. Mulți nu știu că au fost piratați, ceea ce face imposibilă raportarea.

Cu aceste avertismente în afara drumului, IT Governance – un furnizor de soluții de management al riscului cibernetic și al confidențialității, a raportat aproximativ 5,1 miliarde de încălcări (adică cu un B) doar în 2021. Această cifră include toate încălcările. Privind un alt raport, de data aceasta al Sophos, 30.000 de site-uri web (în medie) sunt piratate zilnic. Aceasta înseamnă că 11 milioane de site-uri web sunt piratate pe an. Știm că 43% din toate site-urile web rulează WordPress, ceea ce ne permite să facem o estimare educată că 4,7 milioane de site-uri web WordPress sunt piratate anual. Adică aproape 13.000 de site-uri WordPress piratate în fiecare zi.

Acesta este un număr foarte mare – ceea ce ridică întrebarea, de ce WordPress este piratat atât de mult? Este exact ceea ce ne vom uita în acest articol – pe baza faptelor și statisticilor.

WordPress – cât de sigur este, într-adevăr?

WordPress este un proiect open-source în care mulți oameni din întreaga lume lucrează activ la el. Comunitatea WordPress este foarte puternică și cuprinde unii dintre cei mai deștepți și mai dedicați oameni pe care îi veți întâlni vreodată. Cu atât de mulți oameni implicați și trecând cu vederea procesul de dezvoltare, WordPress tinde să fie foarte sigur.

Puterea WordPress poate fi, de asemenea, căderea lui, așa cum ne vor arăta statisticile atunci când vom aprofunda modul în care site-urile WordPress sunt piratate.

Cele mai mari puncte forte și puncte slabe ale WordPress

Niciun sistem nu este perfect, iar acest lucru este valabil și pentru nucleul WordPress. Miezul WordPress reprezintă fișierele de bază înainte de efectuarea oricăror modificări (cum ar fi pluginuri, teme și configurații). De fapt, WordPress Core a reprezentat 0,58% din toate vulnerabilitățile în 2021 – conform raportului Sucuri de statistici de hacking WordPress. Adică puțin peste jumătate din unu la sută din toate incidentele.

Urmează temele și pluginurile – în această ordine. De fapt, temele reprezintă 6,61% din toate vulnerabilitățile, în timp ce pluginurile reprezintă 92,81%.

Sucuri descompune în continuare temele și pluginurile în funcție de faptul că sunt gratuite sau premium. În timp ce temele și pluginurile premium reprezintă 8,62% din toate vulnerabilitățile terțelor părți, omologii lor gratuit reprezintă 91,38%.

De ce costă pluginuri bune

Există multe motive pentru care acesta este cazul. Plugin-urile și temele vin în toate formele și dimensiunile - de la dezvoltatori reputați la cei umbriți. Adevărul este că, atunci când este făcută corect, dezvoltarea pluginurilor nu este ieftină. Dezvoltatorii profesioniști cu normă întreagă trebuie să fie plătiți, menținând în același timp infrastructuri bune, iar facilitățile de testare generează, de asemenea, facturile.

Acest lucru nu înseamnă că toate pluginurile gratuite reprezintă o amenințare de securitate – departe de asta. Mulți dezvoltatori își dedică timpul liber pentru a produce plugin-uri gratuite de bună calitate. Cu toate acestea, dacă doriți un plugin care este testat și acceptat pe scară largă, un plugin premium este probabil calea de urmat.

Vulnerabilitățile WordPress – numerele

Numărul vulnerabilităților WordPress cunoscute crește în fiecare an. De fapt, WPScan a adăugat 1.437 de noi vulnerabilități la baza sa de date și 514 cu un an înainte. Numai în noiembrie 2022, au fost adăugate 64 de noi vulnerabilități.

Având în vedere distribuția vulnerabilităților despre care am discutat mai devreme, aceste numere sunt valabile atunci când ne uităm la numărul de pluginuri WordPress disponibile. Depozitul WordPress.org listează peste 60.000 de plugin-uri disponibile la momentul scrierii, cu mai multe adăugate zilnic. Pluginurile pot fi, de asemenea, achiziționate direct de la dezvoltatori sau descărcate din surse neoficiale.

Datorită peisajului de vulnerabilitate WordPress în continuă schimbare, atacurile direcționate sunt mai degrabă excepția decât regula. Pe măsură ce vechile vulnerabilități sunt corectate și sunt introduse altele noi, hackerilor le este greu să țină pasul. De asemenea, atacurile direcționate necesită foarte mult timp, motiv pentru care majoritatea atacurilor sunt automatizate.

Atacurile automate folosesc utilizarea unui instrument pentru a scana automat multe site-uri web, generând alerte ori de câte ori este găsită o vulnerabilitate. Din acest motiv, cele mai multe atacuri sunt mai degrabă nediscriminatorii decât rezultatul unei ranchiuni. Dar ce instrumente folosesc hackerii pentru astfel de atacuri automate? Să aflăm.

Cum sunt piratate site-urile WordPress

WordPress poate fi piratat în multe moduri diferite – hackerii pot fi foarte creativi în urmărirea țintelor. Acest lucru face imposibilă și periculoasă enumerarea tuturor modalităților în care un site web WordPress poate fi piratat, deoarece poate oferi un fals sentiment de securitate. Cu toate acestea, ne putem uita la un exemplu care ilustrează procesul pe care un hacker îl poate lua de obicei pentru a sparge un site web WordPress.

WPScan – Un scaner de vulnerabilități WordPress

wpscan
Interfață WPScan: Scanare de securitate WordPress

Un instrument comun care este adesea folosit de hackeri se numește WPScan. Este un instrument gratuit care este ușor disponibil online. Este un scaner de vulnerabilități care scanează site-urile WordPress și identifică problemele cunoscute și configurațiile nesigure. Când lansați o scanare de securitate implicită WordPress cu WPScan, veți afla imediat:

  • Versiunea WordPress
  • Pluginurile instalate, versiunea acestora și calea în care sunt instalate
  • Temele instalate, versiunea lor și calea în care sunt instalate

WPScan include alte funcții, cum ar fi scanările de enumerare a utilizatorilor WordPress. Aceste scanări identifică și enumerează toți utilizatorii înregistrați pe un site web WordPress, oferind hackerilor o perspectivă asupra modului în care funcționează WordPress. Înarmat cu aceste informații, hackerul poate lansa apoi un atac secundar, cum ar fi un atac prin forță brută cu parola WordPress pentru a obține acces la sistemul dumneavoastră.

Aici, este important să rețineți de ce securitatea parolei WordPress este atât de crucială pentru securitatea generală a site-ului dvs. WordPress. O parolă slabă face să pătrundă relativ ușor un atac cu forță brută. De asemenea, este important să vă asigurați că toate conturile folosesc parole puternice. Este posibil ca un cont de colaborator compromis să nu poată provoca prea multe daune, dar prin escaladarea privilegiilor pe un site web compromis, un atacator poate obține privilegii administrative pentru a face ravagii.

De ce hackerii hack

Odată ce un actor rău a reușit să obțină acces la site-ul dvs. WordPress, există mai multe acțiuni pe care le pot întreprinde, cum ar fi:

  • Creați un cont nou cu privilegii de administrator
  • Resetați parola conturilor existente pentru a vă asigura că alți utilizatori nu pot recâștiga accesul la WordPress
  • Schimbați rolul unui cont inactiv existent
  • Schimbați conținutul pentru a-l injecta cu cod rău intenționat
  • Modificați fișierele cu codul sursă WordPress pentru a adăuga cod rău intenționat, cum ar fi ușile din spate
  • Adăugați redirecționări în fișierele htaccess

Protejează-ți WordPress de atacuri

După cum am văzut, actorii răi pot adopta mai multe abordări pentru a încălca un site web WordPress. Prin urmare, este de la sine înțeles că securizarea unui site web WordPress necesită o abordare mai holistică decât simpla asigurare a utilizatorilor cu o parolă.

  • Cercetare – Indiferent dacă sunteți în căutarea unui furnizor de găzduire WordPress sau a unui plugin nou, asigurați-vă că vă faceți timp pentru a le verifica înainte. Forumurile vă pot ajuta să obțineți o privire rapidă asupra modului în care clienții se simt despre produse sau servicii, în timp ce pluginurile ar trebui să aibă actualizări frecvente și asistență excelentă pentru clienți.
  • Test – Alegerea celui mai bun plugin pentru WordPress nu trebuie să fie un joc de ghicituri. Majoritatea furnizorilor de pluginuri reputați oferă o probă gratuită a pluginurilor lor premium. Acest lucru vă permite să le testați înainte de a vă angaja.

Odată ce ați stabilit configurația, va trebui să vă asigurați că este configurată corect pentru securitate maximă. Configurarea unui WordPress securizat nu este o sarcină unică, ci un proces continuu care include:

  • Parole puternice – O politică puternică de parole WordPress vă poate ajuta să vă asigurați că atacurile cu forță brută expiră înainte de a avea succes. Utilizați un amestec sănătos de litere mari și mici, cifre și caractere speciale. De asemenea, setați o politică de expirare a parolelor pentru a vă asigura că parolele sunt schimbate frecvent.
  • 2FA – 2FA, prescurtare pentru autentificare cu doi factori, adaugă un strat suplimentar de autentificare la autentificarea WordPress. Când utilizați 2FA, chiar dacă un atac de forță brută are succes, fără acces la smartphone-ul dvs., hackerii nu se vor putea autentifica.
  • Actualizare – Mențineți WordPress, pluginurile și temele actualizate în orice moment. Implementarea actualizărilor WordPress se poate face în diferite moduri, așa cum arată acest sondaj recent. Acest lucru vă poate ajuta să echilibrați cerințele administrative și de securitate fără a transpira.
  • Monitor – Urmăriți îndeaproape activitatea utilizatorului și a sistemului cu un plugin de securitate, cum ar fi WP Activity Log. Acest lucru vă va ajuta să identificați comportamentul suspect de la început și să îl închideți înainte ca daunele să se producă.

Aceasta nu este în niciun caz o listă exhaustivă, dar este un bun punct de plecare. Securitatea WordPress este un subiect în evoluție, unul care necesită întreținere constantă. Urmărirea unui blog de securitate WordPress este o modalitate de a rămâne la curent și ceva pe care îl puteți citi în timp ce sorbiti cafeaua de dimineață.

Păstrarea WordPress în siguranță

Securitatea WordPress este mai degrabă un ciclu decât un proces cu un început și un sfârșit. Necesită atenție constantă și ajustări pentru a răspunde amenințărilor în evoluție. Deși acest lucru poate părea ca este prea multă muncă, așa cum este adesea cazul, întreținerea este mai bună decât repararea. Dedicând câteva ore în fiecare lună, puteți reduce drastic riscurile de securitate, ajutându-vă să vă asigurați că site-ul dvs. web continuă să crească.