2022 年 WordPress 安全调查结果

已发表: 2022-09-06

我们最近进行了一项调查,以更好地了解 WordPress 的安全状态。 该调查对所有人开放,包括几个与 WordPress 安全相关的问题。 本报告详细介绍了我们的发现。

为什么要进行这项调查?

WordPress 安全性是许多管理员和网站所有者心中的一个重要话题。 由于其开放和迭代的性质,并不总是容易理解您的努力是否足够远,或者是否有需要进一步关注和发展的领域。 当同时处理多件事情时尤其如此——就像管理 WordPress 网站的情况一样。

为此,我们试图获得 WordPress 安全状态的快照。 尽管该调查并未涵盖所有方面,但仍足以提供总体 WordPress 安全性的总体情况。

WordPress 安全性对您来说有多重要?

我们提出的第一个问题是关于 WordPress 安全性对 WordPress 管理员和网站所有者的重要性。 毫不奇怪,绝大多数受访者认为 WordPress 安全性至关重要。 事实上,96% 的受访者认为 WordPress 的安全性非常重要,而 4% 的受访者认为它有点重要。

虽然绝大多数人认为 WordPress 的安全性非常重要,但用于保护 WordPress 的时间却差别很大。 接下来我们将看看这些数字。

花费在安全任务上的总时间

更大比例的管理员每月在安全任务上花费一到三个小时,而 35% 的受访者花费超过三个小时。 22% 的人每月花费不到一小时。 虽然这是少数,但仍占所有受访者的相当大比例。

这里需要注意的一件事是,花在安全任务上的时间往往会随着时间而变化。 通常,在初始设置期间会花费大量时间。 一旦一切启动并运行,通常花在安全相关任务上的时间就会减少,每月只需几个小时即可完成持续维护。 网站的规模和复杂性也可以在花费多少时间方面发挥相当大的作用。

WordPress 加固和最佳实践

WordPress 加固是一个最佳实践过程,旨在减少 WordPress 网站的攻击面。 没有公认的标准定义强化练习的内容; 但是,这通常涉及诸如限制 REST API 和禁用文件编辑器等活动。

当我们询问受访者是否曾经进行过任何此类 WordPress 安全强化练习时,绝大多数(85%)回答说他们做过。 28% 的人手动强化了他们的 WordPress 网站,而 26% 的人使用了插件或服务。 31% 使用插件并执行手动流程。 只有 15% 的受访者没有进行任何强化练习。

图 3

更新和测试

更新是 WordPress 安全性的另一个关键方面。 WordPress 本身以及插件和主题都会收到定期更新——或者至少它们应该收到更新。 管理这些更新至关重要,因为它们通常包括对当前(已安装)版本中存在的错误和安全漏洞的修复。

52% 的受访者为包括 WordPress、插件和主题在内的组件启用了自动更新,而 48% 的受访者没有启用自动更新。 当然,不启用自动更新不一定是安全风险,因为许多管理员选择在将更新推广到实时环境之前对其进行测试。

事实上,25% 的受访者总是在测试或临时环境中测试更新,而 26% 的受访者只测试主要更新。 此外,32% 的接受调查的管理员有时会测试更新,而 17% 的管理员从不测试更新——无论他们可能对他们的网站产生何种影响。

更新策略

虽然 WordPress 自动更新和更新测试都有其优点,但使用的策略可能取决于环境。 高风险电子商务网站可能希望在推出更新之前对其进行测试,因为中断可能意味着收入损失。 另一方面,希望尽可能放手的网站所有者可能会打开自动更新以确保他们的网站安全,而无需积极管理它。

因此,我们认为看看管理员在更新时采用什么整体策略会很有趣。

自动更新和测试百分比
启用自动更新,有时会测试更新19
禁用自动更新并始终测试更新16
禁用自动更新,仅测试主要更新15
禁用自动更新,有时会测试更新
13
启用自动更新,从不测试更新13
启用自动更新,仅测试主要更新11
启用自动更新并始终测试更新9
自动更新被禁用并且从不测试更新4

虽然大多数人都启用了某种形式的自动更新,但许多管理员仍然会在将更新部署到他们的实时环境之前进行某种形式的测试。 事实上,只有 17% 的受访者从未测试过更新。

安全插件使用

调查参与者还被问及使用安全插件的情况。 特别关注防火墙、2FA、WordPress 活动日志和密码安全插件。

绝大多数受访者在他们的环境中安装了防火墙插件,81% 的受访者表示他们安装了一个或多个。 相反,19% 的人没有安装任何防火墙插件。

尽管微软和谷歌等公司支持这种更安全的 WordPress 登录方式,但 2FA 并不像防火墙那么受欢迎。 事实上,只有 64% 的受访者在他们的网站上使用 2FA,而 36% 的人没有。

活动日志插件与 2FA 插件一样受欢迎,65% 的受访者使用一个。

在密码安全方面,38% 的受访者相信他们的用户会使用安全的 WordPress 密码。 另一方面,40% 的人使用 WordPress 密码安全插件,而 22% 的人正在考虑使用一个。

热门插件

图 5

三大防火墙插件前三个 2FA 插件前三个活动日志插件
WordFence - 49% Wordfence - 25% WP 活动日志 - 42%

苏库里 - 7% 可湿性粉剂 2FA - 22% 简单历史 - 7%
iThemes 安全性 - 2.5% iThemes - 2.5% 活动日志 - 7%

得出结论和前进的道路

结果显示出对 WordPress 安全性的浓厚兴趣,这是令人鼓舞的。 同样,许多管理员和网站所有者正在采取措施确保他们的网站安全。 然而,仍然需要做一些工作。

虽然 2FA 以一种或另一种形式出现已经有一段时间了,但它仍然需要迎头赶上。 防火墙插件继续广受欢迎,尽管它们很好,但它们无法保护 WordPress 网站免受凭据泄露。 这使得 2FA 插件对 WordPress 网站的整体安全性至关重要。

不得不说,这只是 WordPress 管理员和网站所有者如何看待安全性的一个快照。 同样重要的是要注意,本调查中的问题仅涵盖 WordPress 安全性的基础知识。 如果您认真对待保护您的网站,请务必关注我们的博客,我们在其中涵盖了有关 WordPress 安全性的众多主题。