2024 年 WordPress 安全威脅情勢：主要趨勢和統計數據

WPScan 最近發布了對 WordPress 網站的 2023 個漏洞和威脅的審查。 有了這些信息，網站所有者和 WordPress 專業人士都可以更安全地度過 2024 年。

WPScan 在專門的安全專家的領導下，維護 WordPress 生態系統威脅的首要資料庫。 WPScan 被整個行業的頂級專業人士使用，被認為是最完整的可用資源。 迄今為止，WPScan 和貢獻者已識別、驗證和分類了超過 49,000 個漏洞。

該資料庫被 Mercedes-Benz Group、WP Engine、Accenture 和 Kinsta 等企業組織使用。 它還為著名的 WordPress 安全工具提供支援，例如 Jetpack Scan，可透過 Jetpack Protect 或 Jetpack Security 計劃使用。

為什麼會有這份報告？ 數據從哪裡來？

WPScan 的團隊致力於識別、驗證和索引 WordPress 生態系統的威脅，以便 WordPress 安全工具（如 Jetpack Security）能夠有效防範這些威脅並保護社群。

識別和理解威脅是網路安全保護的第一步。

本報告中的數據是根據 WPScan 披露並經過其安全研究人員驗證的漏洞以及超過 350,000 個使用 Jetpack Scan 或 Jetpack Protect 的網站和 Automattic 服務的樣本編寫的。

我們學到了什麼？

沒有時間閱讀完整報告？ 不用擔心。 我們為您提供了要點摘要。

XSS 受到廣泛關注，但 SQL 注入是更普遍的威脅

跨站點腳本受到廣泛關注。 漏洞賞金獵人和安全研究人員經常報告此問題（佔所有已揭露漏洞的 53%）。

但最常見的威脅類型（正如 Jetpack 防火牆實際阻止的嘗試所證明的那樣）實際上是 SQL 注入。 SQL 注入的威脅往往特別嚴重，因為利用此類漏洞幾乎不需要任何身份驗證。

在 WordPress 安全性方面，有兩種最常見的威脅

該報告證實了我們已經知道的事情：薄弱的用戶憑證和無效的插件是大多數攻擊的網關。

這意味著網站管理員可以透過保持軟體最新並要求強大的身份驗證來防止大多數安全性問題。

超過 20% 的漏洞不需要身份驗證

WPScan 團隊審查漏洞以確定利用受影響程式碼所需的身份驗證等級。 雖然大約三分之一的漏洞需要存取管理員帳戶（降低被利用的風險），但 22% 的已揭露漏洞完全不需要身份驗證或僅需要訂閱者級帳戶。

惡意軟體攻擊仍然普遍

Jetpack Scan（使用 WPScan 資料庫）識別出數量驚人的 70,000 個網站，其中至少有一個惡意檔案。 大多數原因都可以追溯到（您猜對了！）洩漏/薄弱的憑證或無效的軟體。

75%（60 萬個惡意檔案）被認定為一般惡意軟體。

現有工具正在發揮作用

Jetpack 防火牆阻止了超過 700 萬個涉及高嚴重性漏洞的請求，從而防止了對危險站點的無數 XSS 攻擊。

報告指出，

Jetpack 防火牆雖然是Jetpack 安全套件的最新成員，但它透過在週期的早期阻止潛在的攻擊、防止攻擊者在受保護的站點上站穩腳跟，證明了自己的價值。

Jetpack 防火牆也阻止了超過 50 萬次SQL 注入和路徑遍歷攻擊。

網路安全和 WordPress 專業人士下一步該做什麼？

如果您不知道要尋找什麼，就無法阻止攻擊。 WPScan 提供最強大、最新的已驗證威脅庫。 開發人員和網路安全專業人員可以透過 API 將其整合到他們的內部程序中，以增強他們的防禦能力。

Web 安全團隊也可以使用 WPScan 的 CLI 掃描程式作為滲透測試的一部分。 它提供了駭客無需身份驗證即可查看您網站的資訊的外部視​​圖。

開發人員和企業組織應立即聯絡 WPScan，看看它是否是最適合他們操作的工具。

WordPress 網站所有者下一步該做什麼？

WPScan 對 WordPress 安全生態系統的評估表明威脅仍然存在。 好消息是，最普遍的攻擊可以很容易地被阻止。 WordPress 網站擁有者可以透過 Jetpack Protect 使用 WPScan 資料庫，並透過 Jetpack Security 存取全套預防和復原工具。

實施強身份驗證

弱密碼不僅是網路安全中最常見的弱點，也是最容易修復的弱點之一。 您可以要求使用者提供強密碼，並教育您的團隊了解密碼最佳實踐，例如混合使用數字、字母和特殊字元、為每個網站提供唯一的憑證以及定期更新密碼。

您可能還需要雙重認證，尤其是在管理員等級帳戶上。

分配適當的使用者角色並遵循最小權限原則

WordPress 使用者角色非常強大，因為它們允許您根據個人的職責範圍授予對特定功能的存取權限。 限制分配的高級角色數量可以減少訪問點的數量，並允許加強有關密碼和安全身份驗證的教育和問責制。

這稱為最小權限原則，使用者只能存取其必要工作職能所需的最低角色。

保持核心、主題和外掛程式最新

除了弱密碼之外，過時的軟體也是成功攻擊的最常見根源。 您的網站應該使用最新版本的 WordPress 核心、您的主題以及已安裝的任何外掛程式。

當發現漏洞時，信譽良好的插件開發人員將發布更新來修補它們。 忽略這些更新會讓您的網站暴露在外。

安裝 WordPress 安全性插件

為了獲得最完整的保護，網站所有者需要超越強密碼、更新的軟體和正確的使用者角色分配。 經驗豐富的 WordPress 專業人士知道，正確的 WordPress 安全性外掛將有助於防止入侵，並在入侵時提供復原選項。

如果您想要以最少的複雜度提供全面的保護 - Jetpack Security 就是您需要的解決方案。 以下只是其中的一些內容：

• 停機監控。 其次，了解您的網站存在問題，以便您可以立即採取措施。

• 網站防火牆。 WPScan 的報告多次提到 Jetpack 防火牆阻止的攻擊。 使用 Jetpack Security 存取它。

• 即時惡意軟體掃描和一鍵修復。 造訪 WPScan 的完整資料庫並持續掃描您的網站是否有惡意軟體和漏洞。 更好的是，您還可以獲得大多數問題的一鍵解決方案。

不需要完整的安全插件，但想要存取 WPScan 的資料庫以進行漏洞和惡意軟體掃描？ 這些功能也可在獨立外掛程式Jetpack Protect中使用。

• 即時備份。 請記住，您還需要一種恢復方法，以防攻擊者成功。 Jetpack VaultPress Backup 會保存網站上的所有內容並記錄所有活動。 及時恢復到準確的時刻並查看日誌以排除故障並防止將來出現問題。 即使您的網站完全關閉，您也可以從行動裝置存取和還原備份。

• 垃圾郵件防護。 不需要的、不相關的評論和表單提交不僅令人煩惱，而且對您和您的訪客來說都是危險的。 Jetpack Security 隨附 Akismet 反垃圾郵件功能，因此您可以防止 99% 的垃圾郵件，而無需強迫訪客完成令人惱火的驗證碼。

• 暴力攻擊防護。 暴力攻擊是一種非常常見的 WordPress 威脅。 Jetpack Security 也可以輕鬆阻止它們。

Jetpack 與 WPScan：攜手打造更安全的 WordPress

WPScan 的團隊孜孜不倦地維護最精確的 WordPress 漏洞資料庫。 WordPress 專業人士和企業組織可以與 WPScan 工具集成，以獲得最先進的保護。

WordPress 網站擁有者透過 Jetpack Security 以及其他安全工具存取相同的資訊。 這個安全插件只需最少的麻煩和持續的努力即可開始工作。 您的網站受到簡單的保護。

了解有關 Jetpack 安全性的更多資訊。

了解有關 WPScan 的更多資訊。