WordPress安全吗?一起看看数据是怎么说的插图

到目前为止,WordPress 是最流行的建站方式。但不幸的是,WordPress 的流行也使它成为世界各地恶意攻击者的目标。这可能会让你怀疑 WordPress 是否足够安全来应对这些攻击。

首先是坏消息: 每年都有成千上万的 WordPress 网站遭到黑客攻击,电子商务网站也不例外(这就是为什么我们有一份关于预防电子商务欺诈的深度指南)。

听起来很可怕,对吧?其实不然,因为也有好消息:

黑客并不是因为最新的 WordPress 核心软件存在漏洞才入侵的。相反,大多数网站被黑客攻击的原因都是完全可以预防的,比如没有及时更新或使用不安全的密码。

因此,回答 “WordPress 安全吗?”这个问题需要一些细微差别。为此,我们将从几个不同的角度进行分析:

  • 统计 WordPress 网站实际被黑客攻击的情况,以便了解安全漏洞在哪里。
  • WordPress 核心团队是如何解决安全问题的,这样你就能知道谁是负责人,他们负责保护什么。
  • 当你遵循最佳实践时,WordPress 是否安全,让你知道你的网站是否安全。

WordPress 网站是如何被黑的(数据显示)

好吧,你知道每年都有大量 WordPress 网站遭到黑客攻击。但是……这是怎么发生的呢?这是一个全球性的 WordPress 问题吗?还是那些网站管理员的行为造成的?

根据我们掌握的数据,以下是大多数 WordPress 网站被黑客攻击的原因…

核心软件过时

以下是 Sucuri 2022 年被黑网站报告中一个不足为奇的相关数据。在 Sucuri 查看的所有被黑 WordPress 网站中,49.8% 在事件发生时运行的是过时的 WordPress 核心软件

WordPress安全吗?一起看看数据是怎么说的插图1

被黑客攻击的网站(图片来源:Sucuri)

由此可见,被黑客攻击与使用过时软件之间的关系非常密切。不过,与 2021 年的 50.3% 相比,貌似有些许进步。👏

根据 WPScan 漏洞数据库,他们记录的已知漏洞中有 693 个是 WordPress 核心软件中的漏洞。

WordPress安全吗?一起看看数据是怎么说的插图2

已知漏洞的 WPScan 列表

但不幸的是,只有 61.2% 的 WordPress 网站运行的是最新版本,这就是为什么许多网站仍然容易受到这些漏洞攻击的原因:

WordPress安全吗?一起看看数据是怎么说的插图3

按版本划分的 WordPress 使用情况。(图片来源:WordPress.org)

最后,你可以从 2017 年 2 月的重大 WordPress REST API 漏洞中再次看到这种联系,当时有数十万个网站遭到篡改。

WordPress 4.7.1 包含多个漏洞,这些漏洞最终被用来篡改这些网站。但是……在漏洞被利用的几周前,WordPress 4.7.2 发布,修复了所有这些漏洞。

所有没有禁用自动安全补丁或及时更新到 WordPress 4.7.2 的 WordPress 网站所有者都安全了。但那些没有应用更新的人就不安全了。

提示:WordPress 安全团队在快速修复 WordPress 核心软件问题方面做得非常出色。如果您及时应用所有安全更新,您的网站就不太可能因核心漏洞而出现任何问题。但如果您不这样做,一旦漏洞暴露在野外,您就会承担风险。

2. 过时的插件或主题

人们对 WordPress 的喜爱之一,就是其令人眼花缭乱的可用插件和主题。截至撰写本文时,WordPress 存储库中已有超过 70,000 个插件和主题,另外还有数千个高级插件发布在网络上。

虽然所有这些选项都能很好地扩展您的网站,但每一个扩展对于恶意行为者来说都是一个新的潜在入口。虽然大多数 WordPress 开发人员都能很好地遵循代码标准,并在更新时及时打上补丁,但仍存在一些潜在问题:

  • 插件或主题存在漏洞,但由于没有像 WordPress 核心软件那样多的人关注,该漏洞没有被发现。
  • 开发者停止了对扩展的开发,但人们仍在使用它。
  • 开发者很快就打上了补丁,但人们就是不更新。

那么问题到底有多大?

在 Wordfence 对被黑网站所有者进行的一项调查中,超过 60% 的知道黑客如何入侵的网站所有者将其归因于插件或主题漏洞。

WordPress安全吗?一起看看数据是怎么说的插图4

Wordfence 被黑网站调查(图片来源:Wordfence)

同样,在 Sucuri 的 2022 年报告中,仅 3 个插件就占了他们所查看的被黑网站的 60%以上

WordPress安全吗?一起看看数据是怎么说的插图5

Sucuri 被黑插件列表

但问题就在这里:

这些插件中的漏洞早已被修补,网站所有者只是没有更新插件来保护他们的网站。

WordPress 主题和插件引入了一个通配符,可能会让恶意行为者侵入您的网站。不过,遵循最佳实践可以降低大部分风险。及时更新扩展,只安装信誉良好的扩展。

我们还不得不提一下你可能会在网上看到的 GPL 俱乐部,在那里你只需花几美元就可以获得任何高级 WordPress 插件或主题。虽然 WordPress 是以 GPL 许可的,这一点非常棒,也是我们喜欢它的原因之一,但买家还是要当心。这些插件有时也被称为无效插件。

从 GPL 俱乐部购买插件意味着你要相信第三方,从开发者那里获取最新更新,而且很多时候你得不到支持。从开发者那里获取插件更新是最安全的途径。此外,我们非常支持开发者及其辛勤工作!

3. WordPress、FTP 或主机的登录凭证被盗

好吧,这其实不是 WordPress 的错。但有相当比例的黑客攻击是由于恶意行为者获取了 WordPress 登录凭据,或网站管理员的主机或 FTP 账户的登录凭据。

在 Wordfence 的同一项调查中,暴力攻击占黑客攻击网站的 16%,密码窃取、工作站、网络钓鱼和 FTP 账户都占了很小的比例,但也很明显。

一旦恶意行为者拿到了隐喻的前门钥匙,WordPress 网站在其他方面的安全性就不重要了。

WordPress 通过自动生成安全密码,很好地缓解了这一问题,但用户仍需妥善保管这些密码,并为主机和 FTP 使用强大的密码。

采取基本措施确保账户凭证安全,可以防止恶意行为者直接进入。为所有 WordPress 账户使用/强制使用高强度密码,并限制登录尝试次数,以防止暴力攻击。

对于主机账户,如果可用,请使用双因素身份验证,切勿以明文形式存储 FTP 密码(像某些 FTP 程序那样)。

如果您可以在 FTP 和 SFTP(SSH 文件传输协议)之间做出选择,请务必使用 SFTP(了解 FTP 和 SFTP 的区别,以便理解原因)。如果您的主机只使用 FTP,我们建议您询问是否支持 SFTP,或者换一台支持 SFTP 的主机。这样可以确保不会传输明文密码或文件数据。在 Kinsta,我们只支持 SFTP 文件传输。

4. 供应链攻击

最近,出现了一些黑客通过一种被称为供应链攻击的卑劣手段访问网站的情况。从本质上讲,恶意行为者会

  • 购买 WordPress.org 上以前列出的高质量插件
  • 在插件代码中添加后门
  • 等待用户更新插件,然后注入后门

如果您感兴趣,Wordfence 有更深入的解释。虽然这类攻击并不普遍,但却更难防范,因为它们是通过做一些你应该做的事(保持更新插件)而导致的。

尽管如此,WordPress.org 团队通常会很快发现这些问题,并将插件从目录中删除。

提示:这个问题很难预防,因为经常更新到最新版本是件好事。Wordfence等安全插件可以在插件从WordPress.org删除时提醒您,以便您快速处理。而一个好的备份策略可以帮助你进行回滚,而不会造成任何永久性的损害。

5. 糟糕的托管环境和过时的技术

除了 WordPress 网站上发生的事情之外,您的托管环境和您使用的技术也会产生影响。例如,尽管 PHP 7 比 PHP 5 提高了许多安全性,但只有约 33% 的 WordPress 网站使用 PHP 7 或更高版本。

WordPress安全吗?一起看看数据是怎么说的插图6

WordPress 网站 PHP 使用情况。(图片来源:WordPress.org)

PHP 5.6 的安全支持将于 2018 年底正式到期。而 PHP 5 的早期版本已经多年没有安全支持了。

这意味着使用 PHP 5.6 或更低版本的主机环境很快就会暴露出潜在的未修补 PHP 安全漏洞。

尽管如此,仍有高达 28% 的 WordPress 网站在使用 5.6 以下的 PHP 版本,考虑到最近发现的 PHP 漏洞数量创下了历史新高,这是一个巨大的问题。

使用安全的 WordPress 托管除了可以让你获得最新的技术外,还可以帮助你自动减少许多其他潜在的安全漏洞:

  • 网络应用程序防火墙,如 Cloudflare(Kinsta 上的所有网站都受到我们的 Cloudflare 集成的保护)和 Sucuri
  • 自动更新安全版本
  • 双因素验证
  • 自动备份

提示:使用安全的托管环境和 PHP 等重要技术的最新版本,有助于进一步确保 WordPress 网站的安全。

谁负责保护 WordPress 的安全?

现在你可能想知道,谁负责解决上述所有问题?

官方说法是由 WordPress 安全团队负责(尽管来自世界各地的个人贡献者和开发者也在维护 WordPress 安全方面发挥着巨大作用)。

WordPress 安全团队由 “包括首席开发人员和安全研究人员在内的 50 名专家组成”。这些专家中约有一半在 Automattic 工作。其他专家则从事网络安全工作,该团队还为安全研究人员和托管公司提供咨询。

如果您有兴趣详细了解 WordPress 安全团队的运作方式,可以观看亚伦-坎贝尔(Aaron Campbell)在 WordCamp Europe 2017 上发表的 48 分钟演讲。总的来说,WordPress 安全团队的工作包括:

  • 利用 HackerOne 的漏洞赏金等工具检测并修补漏洞和潜在问题
  • 为所有 WordPress 核心版本提供咨询服务

WordPress 安全团队有一项披露政策,这意味着一旦他们成功修补了漏洞并发布了安全修复,他们就会公开披露该问题(这也是为什么 2017 年有那么多网站被篡改的部分原因–即使在安全团队公开披露漏洞之后,这些网站仍然没有应用更新)。

WordPress 安全团队不会检查 WordPress.org 上的所有主题和插件。WordPress.org 上的主题和插件都是由志愿者人工审核的。但这种审查并不能 “保证它们不存在安全漏洞“。

那么,如果您遵循最佳实践,WordPress 是否安全?

纵观上述所有数据和事实,你就会发现这一总体趋势:

虽然没有一个内容管理系统是100%安全的,但WordPress的核心软件拥有高质量的安全机制,而大多数黑客攻击都是网站管理员没有遵循基本安全最佳实践的直接结果。

如果您能做到以下几点…

  • 及时更新 WordPress 核心软件、插件和主题。
  • 明智地选择插件和主题,只安装信誉良好的开发商/源的扩展。谨防 GPL 俱乐部和无效插件/主题。
  • 如果可以在 FTP 和 SFTP 之间进行选择,请务必使用 SFTP。
  • 为WordPress以及您的主机和SFTP账户使用高强度密码(如果有的话,使用双因素验证)。
  • 不要使用 “admin” 作为用户名。
  • 在网站前设置防火墙。添加 Cloudflare 或 Sucuri 的 WAF 可以使您的网站更加安全。
  • 让自己的电脑远离病毒。
  • 更改 WordPress 登录 URL 以减少暴力破解。
  • 使用 TLS 证书(HTTPS),这样与 WordPress 网站的所有通信(如登录仪表板)都会加密。您可以使用免费 HTTPS 证书!
  • 使用 SSH 密钥。这提供了一种更安全的登录服务器方式,而且无需密码。
  • 选择环境安全的主机,并使用 PHP 8+ 等最新技术。

……这样WordPress就安全了,您的网站现在和将来都不会受到黑客攻击。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。