อ่านรายงานประจำปีช่องโหว่ของ WordPress ปี 2021
เผยแพร่แล้ว: 2022-01-27ในฐานะผู้ใช้หรือนักพัฒนา WordPress คุณรู้อยู่แล้วว่าความท้าทายที่ใหญ่ที่สุดอย่างหนึ่งที่คุณเผชิญคือการรักษาความปลอดภัยให้ไซต์ของคุณอย่างเต็มที่จากช่องโหว่และการคุกคามของการโจมตีที่ประสงค์ร้าย
ในโลกที่ไม่แน่นอนที่เว็บไซต์และความปลอดภัยออนไลน์ถูกโจมตีอย่างต่อเนื่อง เจ้าของเว็บไซต์ WordPress ทุกคนจำเป็นต้องใช้โปรโตคอลความปลอดภัยอย่างจริงจังมากกว่าในอดีต
ข้อมูลเพิ่งเผยแพร่ในรายงานช่องโหว่ของ WordPress ปี 2021 ครั้งแรกของเรา ไม่เพียงแต่แสดงให้คุณเห็นตลอดทั้งปีของรายงานช่องโหว่ของ WordPress 2021 ที่รายงาน แต่ยังเผยให้เห็นช่องโหว่เฉพาะที่แฮ็กเกอร์มักใช้บ่อยที่สุด
ตัวอย่างเช่น คุณทราบหรือไม่ว่า 97.1% ของช่องโหว่ WordPress 2021 ทั้งหมดเกิดจากปลั๊กอิน สิ่งสำคัญคือต้องรู้ว่าการเรียกใช้ไซต์ WordPress ที่ปลอดภัยมีความสำคัญกับคุณหรือไม่
ที่ iThemes เราไม่เพียงแค่ชี้ให้เห็นปัญหาเท่านั้น เรายังต้องการนำเสนอโซลูชั่นที่ได้รับการพิสูจน์แล้วว่าทำงานเพื่อให้เว็บไซต์ WordPress ของคุณปลอดภัยจากช่องโหว่ และคุณจะได้เรียนรู้ว่าต้องทำอย่างไรเพื่อรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณอย่างเต็มที่หลังจากตรวจสอบข้อมูลนี้แล้ว
Takeaway ที่ใหญ่ที่สุดของปี 2021: จับตาดูปลั๊กอิน WordPress ของคุณอย่างใกล้ชิด
ในปี 2564 ช่องโหว่ WordPress ทั้งหมด 97.1% ที่เปิดเผยเมื่อปีที่แล้วเกิดจากปัญหาเกี่ยวกับปลั๊กอิน คุณอ่านถูกต้องแล้ว
ช่องโหว่ 2021 แยกตามแหล่งที่มา
| แหล่งที่มาของช่องโหว่ | จำนวนที่รายงาน | เปอร์เซ็นต์ของยอดรวม (1,628) |
|---|---|---|
| WordPress Core | 8 | 0.05% |
| ปลั๊กอิน | 1581 | 97.1% |
| ธีม | 39 | 2.4% |
แต่สิ่งที่สำคัญที่สุดก็คือ จากช่องโหว่ของปลั๊กอิน 1581 ช่องโหว่ที่รายงานในปี 2564 นั้น 23.2% ยังไม่มีการแก้ไขที่ทราบ ซึ่งหมายความว่า เมื่อเราก้าวไปข้างหน้าสู่ปี 2022 และหลังจากนั้น เราจำเป็นต้องระมัดระวังเรื่องปลั๊กอินที่เราดาวน์โหลดและใช้งานมากขึ้น
ตัวอย่างเช่น ในขณะที่คุณอาจได้รับโซลูชันปลั๊กอินฟรีจากนักพัฒนาปลั๊กอินที่ไม่รู้จัก คุณเชื่อมั่นในความปลอดภัยของซอฟต์แวร์อย่างเต็มที่หรือไม่ ตามข้อมูลแสดงให้เห็นว่า 29% ของช่องโหว่ของปลั๊กอินที่รายงานยังไม่ได้รับการแก้ไขโดยนักพัฒนา
สถานะปลั๊กอิน ณ เวลาที่เปิดเผย
| ระดับภัยคุกคาม | จำนวนที่รายงาน | เปอร์เซ็นต์ของยอดรวม (1,628) |
|---|---|---|
| ปะ | 1156 | 71% |
| ไม่มีการแก้ไขที่ทราบ | 377 | 23.2% |
| ปิดปลั๊กอิน | 95 | 5.8% |
เมื่อใดก็ตามที่เป็นไปได้ ให้ยึดติดกับนักพัฒนาปลั๊กอินที่คุณไว้วางใจและไม่เคยใช้ปลั๊กอินและธีมของ WordPress ที่เป็นโมฆะ และแน่นอน อัปเดตปลั๊กอินและธีมของคุณด้วยแพตช์ที่พร้อมใช้งานทุกครั้งที่เปิดตัว
แต่แม้ว่าคุณจะทำเช่นนั้น ช่องโหว่จะยังคงถูกโจมตีโดยแฮ็กเกอร์ที่มีทักษะและผู้โจมตีที่เป็นอันตราย ก่อนที่นักพัฒนาปลั๊กอินจะสามารถสร้างแพตช์เพื่อแก้ไขได้
นี่คือสาเหตุที่เว็บไซต์ WordPress ของคุณต้องการการรักษาความปลอดภัยที่แข็งแกร่ง ดังที่เราจะพูดถึงในไม่กี่นาที
สำหรับตอนนี้ สิ่งสำคัญคือต้องรู้ว่าปลั๊กอิน iThemes Security Pro มีเครื่องสแกนเว็บไซต์ในตัวที่จับคู่กับฟีเจอร์การจัดการเวอร์ชันเพื่อสแกนหาช่องโหว่ที่รู้จักโดยอัตโนมัติและอัปเดตปลั๊กอินที่มีช่องโหว่โดยอัตโนมัติ คุณจึงไม่ต้องกังวลมาก เกี่ยวกับความปลอดภัยของเว็บไซต์ของคุณ
ช่องโหว่ที่รายงานเพิ่มขึ้นอย่างมากในเดือนกันยายน 2564
กันยายนเป็นเดือนที่โดดเด่นกว่าที่อื่น ที่จริงแล้ว กันยายนพบช่องโหว่ 20.5% ของช่องโหว่ที่รายงานทั้งหมด หรือทั้งหมด 335 รายการ สำหรับมุมมองเดือนที่เห็นช่องโหว่จำนวนสูงสุดเป็นอันดับสองคือเดือนตุลาคมซึ่งมีรายงาน 173 รายการ กรกฎาคมอยู่ไม่ไกลหลัง มี 157 ครั้ง
ช่องโหว่ต่อปลั๊กอิน/ธีม/คอร์ในแต่ละเดือน (2021)
| เดือน | ปลั๊กอิน | ธีม | แกน |
|---|---|---|---|
| มกราคม | 19 | 0 | 0 |
| กุมภาพันธ์ | 42 | 2 | 0 |
| มีนาคม | 58 | 1 | 0 |
| เมษายน | 67 | 1 | 2 |
| พฤษภาคม | 37 | 5 | 2 |
| มิถุนายน | 80 | 7 | 0 |
| กรกฎาคม | 157 | 7 | 0 |
| สิงหาคม | 149 | 0 | 0 |
| กันยายน | 335 | 3 | 1 |
| ตุลาคม | 173 | 1 | 0 |
| พฤศจิกายน | 120 | 0 | 0 |
| ธันวาคม | 45 | 0 | 0 |
แม้ว่าเราจะไม่สามารถทราบได้อย่างแน่นอนว่ารูปแบบที่คล้ายกันจะเกิดขึ้นหรือไม่ในขณะที่เราก้าวเข้าสู่ปี 2022 ต่อไป แต่นี่เป็นข้อมูลสำคัญที่เราจะต้องจับตามองอย่างแน่นอน
ช่องโหว่ตามระดับภัยคุกคามตามเดือน (2021)
| เดือน | วิกฤต | สูง | ปานกลาง | ต่ำ |
|---|---|---|---|---|
| มกราคม | 5 | 3 | 11 | 1 |
| กุมภาพันธ์ | 25 | 10 | 0 | 21 |
| มีนาคม | 16 | 19 | 35 | 0 |
| เมษายน | 25 | 27 | 37 | 1 |
| พฤษภาคม | 4 | 18 | 32 | 3 |
| มิถุนายน | 7 | 18 | 64 | 1 |
| กรกฎาคม | 8 | 65 | 120 | 9 |
| สิงหาคม | 11 | 135 | 56 | 37 |
| กันยายน | 19 | 174 | 156 | 38 |
| ตุลาคม | 8 | 73 | 75 | 62 |
| พฤศจิกายน | 9 | 46 | 53 | 22 |
| ธันวาคม | 0 | 30 | 18 | 9 |
การเขียนสคริปต์ข้ามไซต์เป็นช่องโหว่ของปลั๊กอินที่พบบ่อยที่สุด
Cross-site scripting (XSS) เป็นช่องโหว่ด้านความปลอดภัยของเว็บไซต์ประเภทหนึ่งที่พบในแอปพลิเคชัน WordPress จำนวนมาก เช่น ปลั๊กอินและธีม
การโจมตี XSS เหล่านี้ทำให้ผู้โจมตีสามารถแทรกสคริปต์ฝั่งไคลเอ็นต์ลงในหน้าเว็บ WordPress ที่ผู้ใช้รายอื่นดูได้ ผู้โจมตีอาจใช้ช่องโหว่ของสคริปต์ข้ามไซต์เพื่อหลีกเลี่ยงการควบคุมการเข้าถึง และเข้าถึงส่วนหลังของไซต์ของคุณได้อย่างเต็มที่
สคริปต์ข้ามไซต์ดำเนินการบนเว็บไซต์ WordPress ในปี 2564 คิดเป็น 54.4% ของช่องโหว่ WordPress ทั้งหมด และนั่นคือช่องโหว่ทั้งหมด 885 จุด
| ระดับภัยคุกคาม | จำนวนที่รายงาน | เปอร์เซ็นต์ของยอดรวม (1,628) |
|---|---|---|
| การเขียนสคริปต์ข้ามไซต์ (CSS) | 885 | 54.4% |
| คำขอปลอมข้ามไซต์ (CSFR) | 167 | 10.2% |
| การฉีด SQL | 152 | 9.3% |
| บายพาส | 68 | 4.2% |
| ช่องโหว่ RCE | 20 | 1.2% |
| ช่องโหว่ PHP | 19 | 1.2% |
| การเปิดเผยข้อมูลของ Var | 19 | 1.2% |
| REST API | 11 | 0.7% |
| การเปิดเผยข้อมูลที่ละเอียดอ่อน | 6 | 0.4% |
| อื่นๆ ทั้งหมด | 281 | 17.3% |
อย่างที่คุณเห็น การเขียนสคริปต์ข้ามไซต์เป็นปัญหาด้านความปลอดภัยที่สำคัญสำหรับเจ้าของไซต์ WordPress ทุกคน แต่ความกังวลเรื่องช่องโหว่ยังไม่จบเพียงแค่นั้น
ช่องโหว่อีก 10.2% หรือ 167 ช่องโหว่ที่เกิดจากคำขอปลอมแปลงเว็บไซต์ (CSFR)
การปลอมแปลงคำขอข้ามไซต์หรือที่เรียกว่าการโจมตีด้วยคลิกเดียวหรือการขี่เซสชันเป็นประเภทของการหาประโยชน์ที่เป็นอันตรายของเว็บไซต์ที่มีการส่งคำสั่งที่ไม่ได้รับอนุญาตจากผู้ใช้ที่เว็บแอปพลิเคชันเชื่อถือ
ใช้เวลาไม่นานในการดูว่าหากไม่มีโปรโตคอลความปลอดภัย WordPress ที่เหมาะสม เว็บไซต์ WordPress ของคุณก็เปิดกว้างสำหรับการโจมตีข้ามไซต์ทุกประเภท
แต่นั่นไม่ใช่ช่องโหว่ประเภทเดียวที่คุณควรคำนึงถึง นอกเหนือจากนั้น ยังมีช่องโหว่เจ็ดประเภทที่แตกต่างกันซึ่งถูกรายงานในปี 2564
และอย่าละเลย 281 หรือ 17.3% ของช่องโหว่ที่รายงานซึ่งระบุไว้ในรายงานว่า "อื่นๆ"
บ่อยครั้ง การโจมตีประเภทนี้เป็นการโจมตีที่นักพัฒนาธีมและปลั๊กอินยังไม่เข้าใจ และต้องการปลั๊กอินความปลอดภัย WordPress อันทรงพลังเพื่อป้องกันไม่ให้สร้างความเสียหายหรือแฮ็กไซต์ของคุณ
ระดับภัยคุกคามจากช่องโหว่ในปี 2564
| ระดับภัยคุกคาม | จำนวนที่รายงาน | เปอร์เซ็นต์ของยอดรวม (1,628) |
|---|---|---|
| วิกฤต | 137 | 8.4% |
| สูง | 630 | 38.7% |
| ปานกลาง | 678 | 41.6% |
| ต่ำ | 183 | 11.2% |
WordPress Core และช่องโหว่ของธีม
ในฐานะเจ้าของไซต์ WordPress คุณอาจทราบถึงความสำคัญของการอัปเดตปลั๊กอินอยู่เสมอเพื่อหลีกเลี่ยงการโจมตีที่อาจเกิดขึ้น
ท้ายที่สุดแล้ว ช่องโหว่ส่วนใหญ่ถูกใช้ผ่านปลั๊กอิน
แต่ดังที่ตัวเลขในปี 2021 ระบุ ปลั๊กอินไม่ใช่ตำแหน่งที่โปรโตคอลความปลอดภัยของคุณเริ่มต้นและสิ้นสุด แม้ว่าคุณจะระมัดระวัง 100% กับปลั๊กอินที่คุณใช้และคอยอัปเดตอยู่เสมอ ไซต์ของคุณยังคงถูกโจมตีโดยช่องโหว่ในธีมของคุณ
นอกจากนี้ยังสามารถใช้ประโยชน์ได้ผ่านซอฟต์แวร์หลักของ WordPress ปีที่แล้ว เราเห็นช่องโหว่ทั้งหมด 47 ช่องโหว่ที่ถูกโจมตีผ่าน WordPress core และธีมต่างๆ ตัวเลขดังกล่าวคิดเป็นประมาณ 2.5% ของช่องโหว่ด้านความปลอดภัย WordPress ทั้งหมดในปี 2021
และแม้ว่าจะดูไม่มากนัก แต่ก็ใช้ช่องโหว่ของไซต์ที่ถูกโจมตีเพียงจุดเดียวเพื่อทำลายชื่อเสียงของเว็บไซต์และธุรกิจของคุณโดยสมบูรณ์
แน่นอน แนวทางแรกคือการทำให้ WordPress core และธีมของคุณได้รับการแพตช์และอัปเดตตลอดเวลา แต่ดังที่เราได้กล่าวไว้เกี่ยวกับปลั๊กอิน ที่ช่วยแก้ไขช่องโหว่ที่ทราบในอดีตเท่านั้น
สำหรับรุ่นใหม่ คุณต้องเรียกใช้ซอฟต์แวร์ความปลอดภัยที่รู้วิธีตรวจจับเมื่อมีการโจมตีที่เป็นอันตรายแบบเรียลไทม์
ตรวจสอบให้แน่ใจว่าการรักษาความปลอดภัยของเว็บไซต์มุ่งเน้นในปี 2022
นี่คือจุดที่ปลั๊กอิน iThemes Security Pro เข้ามาช่วยให้ไซต์ WordPress ของคุณปลอดภัย ด้วยโซลูชันการรักษาความปลอดภัย WordPress ที่ใช้งานง่ายและตรงไปตรงมา คุณจะสามารถนอนหลับได้ดีขึ้นในตอนกลางคืนทันที โดยรู้ว่าไซต์ของคุณได้รับการปกป้องอย่างเต็มที่จากแฮกเกอร์และการโจมตีที่เป็นอันตราย
ขั้นตอนแรกคือการทำความเข้าใจการทิ้งระเบิดของภัยคุกคามด้านความปลอดภัยที่ไซต์ของคุณอยู่ภายใต้อยู่ตลอดเวลา หลังจากนั้นก็ถึงเวลารับ iThemes Security Pro และจริงจังกับโปรโตคอลความปลอดภัยเว็บไซต์ WordPress ของคุณ
ด้วยเครื่องสแกนไซต์ WordPress ในตัวเพื่อสแกนหาช่องโหว่ของ WordPress ที่รู้จัก จับคู่กับชั้นการป้องกันสำหรับหน้าเข้าสู่ระบบของคุณ เช่น การป้องกันกำลังเดรัจฉาน ตลอดจนการตรวจจับการเปลี่ยนแปลงไฟล์และการบันทึกผู้ใช้ ไซต์ของคุณมีการป้องกันที่แข็งแกร่งจากการแฮ็กและการละเมิดความปลอดภัย .
ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุดสำหรับ ปลอดภัย & ปกป้อง WordPress
สร้างโดยผู้เชี่ยวชาญด้านความปลอดภัยของ WordPress ตั้งแต่ปี 2014
ปัจจุบัน WordPress มีอำนาจมากกว่า 40% ของเว็บไซต์ทั้งหมด ดังนั้นจึงกลายเป็นเป้าหมายที่ง่ายสำหรับแฮกเกอร์ที่มีเจตนาร้าย iThemes Security Pro นำการคาดเดาออกจากความปลอดภัยของ WordPress เพื่อให้ง่ายต่อการรักษาความปลอดภัยและปกป้องเว็บไซต์ WordPress ของคุณ
