ความปลอดภัยของ WordPress ตามข้อเท็จจริงและสถิติ

เผยแพร่แล้ว: 2022-12-12

WordPress เป็นเป้าหมายทั่วไปสำหรับแฮ็กเกอร์ที่เป็นอันตราย เนื่องจากจำนวนผู้ใช้ที่แท้จริง การประมาณการทำให้จำนวนเว็บไซต์ WordPress ทั้งหมดบนอินเทอร์เน็ตอยู่ที่ 455 ล้าน ซึ่งหมายความว่า WordPress ทำงาน 43.1% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

สถิติที่น่าสนใจ

การค้นหาจำนวนเว็บไซต์ที่ถูกแฮ็กนั้นค่อนข้างยุ่งยาก มีหลายสาเหตุนี้. เหตุการณ์การแฮ็กได้รับการรายงานอย่างฉาวโฉ่ เว้นแต่กฎหมายบังคับให้เปิดเผยเหตุการณ์ ผู้ดูแลระบบและเจ้าของเว็บไซต์จำนวนมากลังเลที่จะทำเช่นนั้น หลายคนไม่ทราบว่าพวกเขาถูกแฮ็ก ทำให้ไม่สามารถรายงานได้

ด้วยการหลีกเลี่ยงคำเตือนเหล่านี้ IT Governance ซึ่งเป็นผู้ให้บริการโซลูชันการจัดการความเสี่ยงทางไซเบอร์และความเป็นส่วนตัวได้รายงานการละเมิดถึง 5.1 พันล้านรายการ (เท่ากับ B) ในปี 2564 เพียงปีเดียว ตัวเลขนี้รวมถึงการละเมิดทั้งหมด เมื่อดูรายงานอื่น คราวนี้โดย Sophos เว็บไซต์ 30,000 แห่ง (โดยเฉลี่ย) ถูกแฮ็กทุกวัน ซึ่งเท่ากับ 11 ล้านเว็บไซต์ที่ถูกแฮ็กต่อปี เราทราบดีว่า 43% ของเว็บไซต์ทั้งหมดใช้งาน WordPress ซึ่งทำให้เราสามารถคาดเดาได้อย่างมีการศึกษาว่าเว็บไซต์ WordPress 4.7 ล้านแห่งถูกแฮ็กทุกปี นั่นคือเว็บไซต์ WordPress เกือบ 13,000 แห่งที่ถูกแฮ็กทุกวัน

นั่นเป็นจำนวนที่สูงมาก – ซึ่งทำให้เกิดคำถาม ทำไม WordPress ถึงถูกแฮ็กมากขนาดนี้? นั่นคือสิ่งที่เราจะพิจารณาในบทความนี้ โดยอ้างอิงจากข้อเท็จจริงและสถิติ

WordPress – ปลอดภัยจริงหรือ?

WordPress เป็นโครงการโอเพ่นซอร์สที่มีผู้คนจำนวนมากทั่วโลกทำงานอย่างแข็งขัน ชุมชน WordPress นั้นแข็งแกร่งมากและประกอบด้วยผู้คนที่ฉลาดที่สุดและมีความมุ่งมั่นมากที่สุดที่คุณเคยพบ ด้วยผู้คนจำนวนมากที่เกี่ยวข้องและมองข้ามกระบวนการพัฒนา WordPress จึงมีความปลอดภัยสูง

จุดแข็งของ WordPress อาจเป็นความหายนะได้เช่นกัน เนื่องจากสถิติจะแสดงให้เราเห็นเมื่อเราเจาะลึกลงไปว่าเว็บไซต์ WordPress ถูกแฮ็กได้อย่างไร

จุดแข็งและจุดอ่อนที่ใหญ่ที่สุดของ WordPress

ไม่มีระบบใดที่สมบูรณ์แบบ และนี่ก็ใช้ได้กับคอร์ของ WordPress ด้วย WordPress core เป็นตัวแทนของไฟล์หลักก่อนที่จะทำการเปลี่ยนแปลงใดๆ (เช่น ปลั๊กอิน ธีม และการกำหนดค่า) ในความเป็นจริง WordPress Core คิดเป็น 0.58% ของช่องโหว่ทั้งหมดในปี 2021 – ตามรายงานสถิติการแฮ็ก WordPress ของ Sucuri นั่นเป็นเพียงมากกว่าครึ่งหนึ่งของหนึ่งเปอร์เซ็นต์ของเหตุการณ์ทั้งหมด

ถัดไปคือธีมและปลั๊กอิน - ตามลำดับ ในความเป็นจริง ธีมคิดเป็น 6.61% ของช่องโหว่ทั้งหมด ในขณะที่ปลั๊กอินคิดเป็น 92.81%

Sucuri แจกแจงธีมและปลั๊กอินเพิ่มเติมว่าฟรีหรือพรีเมียม ในขณะที่ธีมและปลั๊กอินพรีเมียมคิดเป็น 8.62% ของช่องโหว่ของบุคคลที่สามทั้งหมด

ทำไมปลั๊กอินที่ดีต้องเสียเงิน

มีสาเหตุหลายประการที่เป็นเช่นนี้ ปลั๊กอินและธีมมาในรูปทรงและขนาดต่างๆ ตั้งแต่นักพัฒนาที่มีชื่อเสียงไปจนถึงตัวที่น่าสงสัย ความจริงของเรื่องนี้ก็คือ เมื่อทำถูกต้องแล้ว การพัฒนาปลั๊กอินก็ไม่ใช่เรื่องถูก นักพัฒนามืออาชีพเต็มเวลาจำเป็นต้องได้รับค่าตอบแทนในขณะที่ยังคงรักษาโครงสร้างพื้นฐานที่ดีไว้ และสิ่งอำนวยความสะดวกในการทดสอบก็มีค่าใช้จ่ายสูงเช่นกัน

นี่ไม่ได้หมายความว่าปลั๊กอินฟรีทั้งหมดเป็นภัยคุกคามด้านความปลอดภัย – ห่างไกลจากสิ่งนี้ นักพัฒนาหลายคนอุทิศเวลาว่างให้กับการผลิตปลั๊กอินฟรีคุณภาพดี อย่างไรก็ตาม หากคุณต้องการปลั๊กอินที่ได้รับการทดสอบและสนับสนุนอย่างกว้างขวาง ปลั๊กอินพรีเมียมน่าจะเป็นทางเลือกที่ดี

ช่องโหว่ WordPress – ตัวเลข

จำนวนช่องโหว่ของ WordPress ที่ทราบมีแนวโน้มสูงขึ้นทุกปี ในความเป็นจริง WPScan ได้เพิ่มช่องโหว่ใหม่ 1,437 รายการในฐานข้อมูลและ 514 รายการในปีก่อนหน้านั้น ในเดือนพฤศจิกายนปี 2022 เพียงปีเดียว มีช่องโหว่ใหม่เพิ่มขึ้น 64 รายการ

เมื่อพิจารณาถึงการกระจายช่องโหว่ที่เราพูดถึงก่อนหน้านี้ ตัวเลขเหล่านี้คงอยู่เมื่อดูจำนวนปลั๊กอิน WordPress ที่มี พื้นที่เก็บข้อมูล WordPress.org แสดงรายการปลั๊กอินมากกว่า 60,000 รายการในขณะที่เขียน โดยมีเพิ่มมากขึ้นทุกวัน ปลั๊กอินสามารถซื้อได้โดยตรงจากนักพัฒนาหรือดาวน์โหลดจากแหล่งที่ไม่เป็นทางการ

เนื่องจากช่องโหว่ของ WordPress ที่เปลี่ยนแปลงตลอดเวลา การโจมตีแบบกำหนดเป้าหมายจึงเป็นข้อยกเว้นแทนที่จะเป็นกฎ เมื่อมีการแพตช์ช่องโหว่เก่าและช่องโหว่ใหม่เข้ามา แฮ็กเกอร์อาจพบว่าเป็นการยากที่จะติดตาม นอกจากนี้ยังทำให้การโจมตีแบบกำหนดเป้าหมายใช้เวลานานมาก ซึ่งเป็นสาเหตุที่การโจมตีส่วนใหญ่เป็นไปโดยอัตโนมัติ

การโจมตีอัตโนมัติใช้เครื่องมือเพื่อสแกนเว็บไซต์จำนวนมากโดยอัตโนมัติ แจ้งเตือนเมื่อใดก็ตามที่พบช่องโหว่ ด้วยเหตุนี้ การโจมตีส่วนใหญ่จึงไม่เลือกปฏิบัติแทนที่จะเป็นผลจากความขุ่นเคืองใจ แต่แฮ็กเกอร์ใช้เครื่องมืออะไรสำหรับการโจมตีอัตโนมัติเช่นนี้? ลองหากัน

เว็บไซต์ WordPress ถูกแฮ็กอย่างไร

WordPress สามารถถูกแฮ็กได้หลายวิธี – แฮ็กเกอร์สามารถติดตามเป้าหมายได้อย่างสร้างสรรค์ สิ่งนี้ทำให้เป็นไปไม่ได้และเป็นอันตรายที่จะระบุวิธีการทั้งหมดที่เว็บไซต์ WordPress สามารถถูกแฮ็กได้ เนื่องจากอาจทำให้เข้าใจผิดถึงความปลอดภัย อย่างไรก็ตาม เราสามารถดูตัวอย่างหนึ่งที่แสดงให้เห็นกระบวนการที่แฮ็กเกอร์มักใช้เพื่อแฮ็กเว็บไซต์ WordPress

WPScan – เครื่องมือสแกนช่องโหว่ของ WordPress

ดับเบิลยูพีเอสสแกน
อินเทอร์เฟซ WPScan: การสแกนความปลอดภัยของ WordPress

เครื่องมือทั่วไปอย่างหนึ่งที่แฮ็กเกอร์มักใช้เรียกว่า WPScan เป็นเครื่องมือฟรีที่พร้อมใช้งานออนไลน์ เป็นเครื่องสแกนช่องโหว่ที่สแกนเว็บไซต์ WordPress และระบุปัญหาที่ทราบและการกำหนดค่าที่ไม่ปลอดภัย เมื่อเปิดการสแกนความปลอดภัย WordPress เริ่มต้นด้วย WPScan คุณจะพบทันที:

  • รุ่น WordPress
  • ปลั๊กอินที่ติดตั้ง เวอร์ชัน และเส้นทางที่ติดตั้งปลั๊กอิน
  • ธีมที่ติดตั้ง เวอร์ชัน และพาธที่ติดตั้ง

WPScan มีฟังก์ชันอื่นๆ เช่น การสแกนการแจงนับผู้ใช้ WordPress การสแกนเหล่านี้จะระบุและแจกแจงผู้ใช้ทั้งหมดที่ลงทะเบียนบนเว็บไซต์ WordPress ทำให้แฮ็กเกอร์เข้าใจถึงการทำงานของ WordPress ด้วยข้อมูลนี้แฮ็กเกอร์สามารถเริ่มการโจมตีครั้งที่สองเช่นการโจมตีด้วยรหัสผ่าน WordPress ของ WordPress เพื่อเข้าถึงระบบของคุณ

ที่นี่ สิ่งสำคัญคือต้องทราบว่าเหตุใดความปลอดภัยของรหัสผ่าน WordPress จึงมีความสำคัญอย่างยิ่งต่อความปลอดภัยโดยรวมของเว็บไซต์ WordPress ของคุณ รหัสผ่านที่ไม่รัดกุมทำให้การโจมตีแบบเดรัจฉานสามารถทะลุทะลวงได้ค่อนข้างง่าย ในทำนองเดียวกัน สิ่งสำคัญคือต้องแน่ใจว่าบัญชีทั้งหมดใช้รหัสผ่านที่รัดกุม บัญชีผู้สนับสนุนที่ถูกบุกรุกอาจไม่สามารถสร้างความเสียหายได้มากนัก แต่ด้วยการยกระดับสิทธิ์บนเว็บไซต์ที่ถูกบุกรุก ผู้โจมตีสามารถได้รับสิทธิ์ระดับผู้ดูแลระบบเพื่อสร้างความหายนะ

ทำไมแฮกเกอร์จึงแฮ็ก

เมื่อผู้ไม่ประสงค์ดีสามารถเข้าถึงเว็บไซต์ WordPress ของคุณได้แล้ว มีการดำเนินการหลายอย่างที่พวกเขาสามารถทำได้ เช่น:

  • สร้างบัญชีใหม่ที่มีสิทธิ์ของผู้ดูแลระบบ
  • รีเซ็ตรหัสผ่านของบัญชีที่มีอยู่เพื่อให้แน่ใจว่าผู้ใช้รายอื่นไม่สามารถเข้าถึง WordPress ของตนได้
  • เปลี่ยนบทบาทของบัญชีที่ไม่มีการเคลื่อนไหวที่มีอยู่
  • เปลี่ยนเนื้อหาเพื่อแทรกโค้ดที่เป็นอันตราย
  • ดัดแปลงไฟล์ซอร์สโค้ดของ WordPress เพื่อเพิ่มโค้ดอันตราย เช่น แบ็คดอร์
  • เพิ่มการเปลี่ยนเส้นทางในไฟล์ htaccess

ปกป้อง WordPress ของคุณจากการถูกโจมตี

ดังที่เราได้เห็น ผู้ไม่ประสงค์ดีสามารถใช้หลายวิธีในการละเมิดเว็บไซต์ WordPress ดังนั้นจึงมีเหตุผลว่าการรักษาความปลอดภัยของเว็บไซต์ WordPress นั้นต้องการแนวทางแบบองค์รวมมากกว่าแค่การตรวจสอบให้ผู้ใช้มีรหัสผ่าน

  • การวิจัย – ไม่ว่าคุณกำลังมองหาผู้ให้บริการโฮสติ้ง WordPress หรือปลั๊กอินใหม่ อย่าลืมสละเวลาตรวจสอบก่อน ฟอรัมสามารถช่วยให้คุณเห็นได้อย่างรวดเร็วว่าลูกค้ารู้สึกอย่างไรเกี่ยวกับผลิตภัณฑ์หรือบริการ ในขณะที่ปลั๊กอินควรมีการอัปเดตบ่อยครั้งและการสนับสนุนลูกค้าที่ยอดเยี่ยม
  • ทดสอบ – การเลือกปลั๊กอินที่ดีที่สุดสำหรับ WordPress ไม่จำเป็นต้องเป็นเกมเดา ผู้ให้บริการปลั๊กอินที่มีชื่อเสียงส่วนใหญ่เสนอปลั๊กอินพรีเมียมให้ทดลองใช้ฟรี สิ่งนี้ทำให้คุณสามารถทดสอบได้ก่อนที่จะตกลง

เมื่อคุณทราบการตั้งค่าแล้ว คุณจะต้องแน่ใจว่ามีการกำหนดค่าอย่างถูกต้องเพื่อความปลอดภัยสูงสุด การกำหนดค่า WordPress ที่ปลอดภัยไม่ใช่งานที่ทำเพียงครั้งเดียว แต่เป็นกระบวนการต่อเนื่องซึ่งรวมถึง:

  • รหัสผ่านที่รัดกุม – นโยบายรหัสผ่าน WordPress ที่รัดกุมสามารถช่วยให้คุณมั่นใจได้ว่าการโจมตีแบบเดรัจฉานจะหมดเวลาก่อนที่จะสำเร็จ ใช้ตัวอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมกันอย่างเหมาะสม นอกจากนี้ ให้ตั้งค่านโยบายการหมดอายุของรหัสผ่านเพื่อให้แน่ใจว่ารหัสผ่านมีการเปลี่ยนแปลงบ่อยครั้ง
  • 2FA – 2FA ย่อมาจาก two-factor authentication เพิ่มชั้นการยืนยันตัวตนเพิ่มเติมในการเข้าสู่ระบบ WordPress ของคุณ เมื่อใช้ 2FA แม้ว่าการโจมตีด้วยกำลังเดรัจฉานจะสำเร็จ แต่หากไม่มีการเข้าถึงสมาร์ทโฟนของคุณ แฮ็กเกอร์จะไม่สามารถเข้าสู่ระบบได้
  • อัปเดต – อัปเดต WordPress ปลั๊กอิน และธีมให้ทันสมัยอยู่เสมอ การใช้งานการอัปเดต WordPress สามารถทำได้หลายวิธีดังที่การสำรวจล่าสุดนี้แสดงให้เห็น สิ่งนี้สามารถช่วยให้คุณสร้างความสมดุลระหว่างข้อกำหนดด้านการดูแลระบบและความปลอดภัยโดยไม่ต้องเหนื่อย
  • มอนิเตอร์ – จับตาดูกิจกรรมของผู้ใช้และระบบอย่างใกล้ชิดด้วยปลั๊กอินความปลอดภัย เช่น บันทึกกิจกรรม WP วิธีนี้จะช่วยให้คุณระบุพฤติกรรมที่น่าสงสัยได้ตั้งแต่เนิ่นๆ และปิดการทำงานก่อนที่จะเกิดความเสียหาย

นี่ไม่ใช่รายการที่ครบถ้วนสมบูรณ์ แต่เป็นจุดเริ่มต้นที่ดี ความปลอดภัยของ WordPress เป็นหัวข้อที่กำลังพัฒนา ซึ่งต้องการการบำรุงรักษาอย่างต่อเนื่อง การติดตามบล็อกความปลอดภัย WordPress เป็นวิธีหนึ่งในการติดตามข่าวสารล่าสุดและบางสิ่งที่คุณอ่านได้ในขณะที่คุณจิบกาแฟยามเช้า

การรักษา WordPress ให้ปลอดภัย

ความปลอดภัยของ WordPress เป็นวงจรมากกว่ากระบวนการที่มีจุดเริ่มต้นและจุดสิ้นสุด จำเป็นต้องให้ความสนใจและปรับแต่งอย่างต่อเนื่องเพื่อตอบสนองต่อภัยคุกคามที่พัฒนาขึ้น แม้ว่าสิ่งนี้อาจฟังดูเหมือนเป็นงานหนัก แต่บ่อยครั้งที่เป็นเช่นนั้น การบำรุงรักษาย่อมดีกว่าการซ่อมแซม การอุทิศเวลาไม่กี่ชั่วโมงทุกเดือน คุณสามารถลดความเสี่ยงด้านความปลอดภัยได้อย่างมาก ช่วยให้มั่นใจว่าเว็บไซต์ของคุณเติบโตอย่างต่อเนื่อง