基于事实和统计数据的 WordPress 安全性

已发表: 2022-12-12

由于使用它的人数众多,WordPress 是恶意黑客的常见目标。 有人估计互联网上的 WordPress 网站总数为 4.55 亿。 这意味着 WordPress 运行着互联网上所有网站的 43.1%。

有趣的数据

找出有多少网站被黑是很棘手的。 有几个原因。 众所周知,黑客事件的报道不足。 除非法律强制披露事件,否则许多管理员和网站所有者都不愿意这样做。 许多人不知道他们已被黑客入侵,因此无法报告。

考虑到这些警告,网络风险和隐私管理解决方案提供商 IT Governance 仅在 2021 年就报告了约 51 亿次(B 级)违规事件。 该数字包括所有违规行为。 查看另一份报告,这次是 Sophos,每天有 30,000 个网站(平均)被黑客入侵。 这相当于每年有 1100 万个网站遭到黑客攻击。 我们知道 43% 的网站运行 WordPress,这让我们可以做出有根据的猜测,即每年有 470 万个 WordPress 网站遭到黑客攻击。 每天有近 13,000 个 WordPress 网站遭到黑客攻击。

这是一个非常大的数字——这引出了一个问题,为什么 WordPress 被黑客攻击的次数如此之多? 这正是我们将在本文中看到的——基于事实和统计数据。

WordPress——它有多安全,真的吗?

WordPress 是一个开源项目,全世界有许多人积极致力于此。 WordPress 社区非常强大,其中包括一些您将遇到的最聪明、最忠诚的人。 有这么多人参与并忽视了开发过程,WordPress 往往非常安全。

WordPress 的优势也可能是它的垮台,当我们深入研究 WordPress 网站是如何被黑客入侵时,统计数据就会告诉我们。

WordPress 最大的优点和缺点

没有系统是完美的,这也适用于 WordPress 核心。 WordPress 核心代表在进行任何更改(例如插件、主题和配置)之前的核心文件。 事实上,根据 Sucuri 的 WordPress 黑客统计报告,WordPress Core 占 2021 年所有漏洞的 0.58%。 这仅占所有事件的百分之一的一半多一点。

接下来是主题和插件 - 按此顺序。 事实上,主题占所有漏洞的 6.61%,而插件占高达 92.81%。

Sucuri 根据主题和插件是免费的还是付费的进一步细分。 虽然付费主题和插件占所有第 3 方漏洞的 8.62%,但免费的主题和插件占 91.38%。

为什么好的插件要花钱

出现这种情况的原因有很多。 插件和主题有各种形状和大小——从信誉良好的开发人员到阴暗的开发人员。 事情的真相是,如果做得好,插件开发并不便宜。 全职专业开发人员需要在维护良好的基础设施的同时获得报酬,测试设施也会增加费用。

这并不是说所有免费插件都会构成安全威胁——远非如此。 许多开发人员将他们的空闲时间用于制作高质量的免费插件。 但是,如果您想要一个经过广泛测试和支持的插件,那么高级插件可能是您的不二之选。

WordPress 漏洞——数字

已知的 WordPress 漏洞数量每年呈上升趋势。 事实上,WPScan 在其数据库中添加了 1,437 个新漏洞,而前一年为 514 个。 仅在 2022 年 11 月,就新增了 64 个漏洞。

考虑到我们之前讨论的漏洞分布,这些数字在查看可用的 WordPress 插件数量时是成立的。 在撰写本文时,WordPress.org 存储库列出了超过 60,000 个可用的插件,并且每天都会添加更多插件。 插件也可以直接从开发人员处购买或从非官方来源下载。

由于不断变化的 WordPress 漏洞情况,有针对性的攻击是例外而不是规则。 随着旧漏洞得到修补并引入新漏洞,黑客会发现很难跟上。 它还使有针对性的攻击非常耗时,这就是为什么大多数攻击都是自动化的。

自动攻击使用一种工具来自动扫描许多网站,并在发现漏洞时发出警报。 正因为如此,大多数攻击都是不分青红皂白的,而不是出于怨恨。 但是黑客使用什么工具来进行这种自动攻击呢? 让我们找出来。

WordPress 网站是如何被黑客入侵的

WordPress 可以通过许多不同的方式被黑客入侵——黑客在追踪目标方面可以非常有创意。 这使得列出 WordPress 网站可能被黑客攻击的所有方式变得不可能和危险,因为它可能会提供一种错误的安全感。 但是,我们可以看一个示例来说明黑客通常可能采取的入侵 WordPress 网站的过程。

WPScan – 一个 WordPress 漏洞扫描器

wps扫描
WPScan 界面:WordPress 安全扫描

黑客经常使用的一种常用工具称为 WPScan。 它是一个免费工具,可以在线轻松获得。 它是一个漏洞扫描器,可以扫描 WordPress 网站并识别已知问题和不安全的配置。 使用 WPScan 启动默认的 WordPress 安全扫描时,您会立即发现:

  • WordPress 版本
  • 安装的插件,它们的版本,以及它们的安装路径
  • 已安装的主题、它们的版本以及它们的安装路径

WPScan 包括其他功能,例如 WordPress 用户枚举扫描。 这些扫描识别并枚举在 WordPress 网站上注册的所有用户,让黑客深入了解您的 WordPress 的功能。 有了这些信息,黑客就可以发起二次攻击,例如 WordPress 密码暴力攻击来获得对您系统的访问权限。

在这里,重要的是要注意为什么 WordPress 密码安全对 WordPress 网站的整体安全性如此重要。 弱密码使得暴力攻击相对容易突破。 同样,确保所有帐户都使用强密码也很重要。 受感染的贡献者帐户可能无法造成太大的损害,但通过在受感染的网站上提升权限,攻击者可以获得管理权限以造成严重破坏。

黑客为什么要入侵

一旦坏人设法获得了对您的 WordPress 网站的访问权限,他们就可以采取多种措施,例如:

  • 创建一个具有管理员权限的新帐户
  • 重置现有帐户的密码以确保其他用户无法重新获得对其 WordPress 的访问权限
  • 更改现有休眠帐户的角色
  • 更改内容以注入恶意代码
  • 篡改 WordPress 源代码文件以添加恶意代码,例如后门程序
  • 在 htaccess 文件中添加重定向

保护您的 WordPress 免受攻击

正如我们所见,不良行为者可以采取多种方法来破坏 WordPress 网站。 因此,按理说,保护 WordPress 网站需要更全面的方法,而不是简单地确保用户拥有密码。

  • 研究——无论您是在寻找 WordPress 托管服务提供商还是新插件,请务必先花时间检查一下。 论坛可以帮助您快速了解客户对产品或服务的感受,而插件应该有频繁的更新和强大的客户支持。
  • 测试– 为您的 WordPress 选择最好的插件不一定是猜谜游戏。 大多数信誉良好的插件提供商都提供免费试用其高级插件。 这允许您在提交之前测试它们。

一旦你弄清楚了你的设置,你需要确保它被正确配置以获得最大的安全性。 配置安全的 WordPress 不是一次性的工作,而是一个持续的过程,包括:

  • 强密码– 强密码策略可以帮助您确保暴力攻击在成功之前耗尽时间。 使用大小写字母、数字和特殊字符的健康组合。 此外,设置密码过期策略以确保经常更改密码。
  • 2FA – 2FA,双因素身份验证的缩写,为您的 WordPress 登录添加额外的身份验证层。 使用 2FA 时,即使暴力破解成功,如果无法访问您的智能手机,黑客也无法登录。
  • 更新——让 WordPress、插件和主题始终保持最新。 正如最近的调查所示,可以通过不同的方式实施 WordPress 更新。 这可以帮助您在不费吹灰之力的情况下平衡管理和安全需求。
  • 监控——使用 WP 活动日志等安全插件密切关注用户和系统活动。 这将帮助您尽早发现可疑行为并在造成损害之前将其关闭。

这绝不是一个详尽的清单,但它是一个很好的起点。 WordPress 安全性是一个不断发展的话题,需要不断维护。 关注 WordPress 安全博客是了解最新信息的一种方式,也是您可以在早上喝咖啡时阅读的内容。

确保 WordPress 安全

WordPress 安全性是一个循环,而不是一个有始有终的过程。 它需要持续关注和调整以应对不断变化的威胁。 虽然这听起来像是工作量太大,但通常情况下,维护总比修理好。 通过每月投入几个小时,您可以大大降低安全风险,帮助您确保您的网站持续发展。