[网站安全] WordPress 安全统计：WordPress 到底有多安全？

据统计，WordPress 是最受黑客攻击的目标

在谈论 WordPress 安全性时，第一个重要的数据点是 43%。据 W3Techs 称，这是运行 WordPress 的网站在全球范围内所占的份额。请注意，这不是其在内容管理系统中的市场份额（较高），而是在互联网上网站总数中的市场份额。

这是一个相当大的数字。这很重要，因为虽然对于 WordPress 粉丝来说这是值得自豪的事情，但它也有一个缺点——曝光。

WordPress 上运行的网站数量之多意味着该平台是黑客的主要目标。事实上，在Sucuri 的 2022 年威胁研究报告中，WordPress 网站占所有受感染网站的 96.2%。

听起来不太安全，是吗？

当你单独看到这样的统计数据时，你的第一个想法可能是 WordPress 确实存在安全问题。否则为什么它会占成功黑客攻击的绝大多数？

这就是为什么我们从第一个数字开始。WordPress 是一个更突出、更有利可图的目标。选择一种允许您尝试攻击数亿个网站的系统，而不是用户群小得多的系统，更加经济和高效。黑客显然也是这么想的。

坏消息是，他们常常成功。每年都有数十万个 WordPress 网站被成功黑客入侵。好消息是，正如您将在下面看到的，这并不是因为 WordPress 本质上不安全。事实上，许多成功的黑客攻击都是完全可以避免的。您只需要知道如何保护自己。

WordPress 核心漏洞统计

为了回答 WordPress 是否安全，我们先从 WordPress 核心软件的安全性统计数据开始。

大多数被黑的网站尚未更新

根据 Sucuri 报告，大多数被黑客入侵的 WordPress 网站都已过时。到 2022 年，超过一半的恶意软件感染者并未在最新版本的 WordPress 上运行。

这并不奇怪，一些旧版本的 CMS 存在已公开披露的众所周知的安全问题。因此，如果您继续在其中之一上运行您的网站，您只是在邀请某人利用它。

事实上，安全问题最多的WordPress版本都在4.0版本之前。从那时起，漏洞数量稳步减少。

Sucuri 的报告也反映了这一点。与之前的数字相比，由于未更新而被黑客攻击的 WordPress 网站比例有所下降。

事实上，在他们遇到的所有 CMS 中，由于版本过时，WordPress 的感染比例最低。

这种情况已经连续两年出现，WordPress 的份额在此期间略有下降。这是2021年的比较。

这是用户问题，而不是 WordPress 问题

那么，WordPress 用户保持网站更新的情况如何呢？嗯，很多人没有。以下是WordPress.org 跟踪的在野外网站上运行的 WordPress 版本。

正如您所看到的，只有大约 60%% 使用的是最新版本。然而，好消息是，至少绝大多数是在 WordPress 4.0 或更高版本上，其中漏洞情况变得更好。另外，四分之三已经更新到最新的主要版本，这比之前有所改进。2016年，这一比例仅为50%左右。

原因之一可能是5.6 版本中引入的自动更新。您不再需要依赖用户手动单击“更新”按钮。相反，网站可以自动安装新的 WordPress 版本，这显然促成了这一积极趋势。

WordPress 安全基础设施有效

尽管用户不愿意更新他们的网站，但 WordPress 核心的安全系统仍然做得很好。WordPress 安全团队可以快速发现并修补每个新 WordPress 版本中的问题。

2023 年，我们已经发布了三个安全版本，修复了 20-30 个潜在漏洞。仅WordPress 6.0.3就包含 16 个安全修复程序。2022 年该项目还发布了 4 个安全版本，总共解决了 26 个安全漏洞。

此外，这种警惕性还延伸到了生态系统的其他部分。Elementor 遇到了一个严重漏洞，并很快得到了修补，Ninja Forms 收到了 WordPress.org 的强制更新，BackupBuddy 也修补了一个高严重性安全漏洞，并将更新版本推送给用户。

因此，虽然 WordPress 与其他软件一样存在安全问题，但它具有可以快速响应这些问题的故障保护机制。仍然存在的最大障碍之一是让用户应用这些解决方案。

WordPress 主题和插件安全统计

作为最流行的 CMS，WordPress 附带了大量扩展，其中许多扩展是免费的。截至撰写本文时，仅 WordPress 目录中就有近60,000 个插件，以及11,000 多个主题。

这甚至没有算上网络其他部分提供的数千个其他插件（通常作为高级解决方案）。这就是 WordPress 的一个很酷的地方，无论您在寻找什么，很可能已经有一个解决方案。

同时，您在站点上安装的每个扩展都是攻击者的潜在入口点。主题和插件是各个开发人员的责任。它们没有像 WordPress 核心那样经过严格的测试，因此更有可能包含安全漏洞。此外，有时开发人员只是停止支持他们的工作，而这些工作就变得过时了。

因此，它们在 WordPress 安全统计中发挥重要作用并不奇怪，尤其是插件。事实上，根据 WPScan.com 的说法，它们包含绝大多数 WordPress 漏洞。

Patchstack也得到了类似的数字。

显然，特别是免费的插件是一个问题。Sucuri 报告称，付费主题和插件占所有第三方漏洞的 8.62%，而免费扩展占 91.38%。

这里也存在一个常见问题，即网站所有者使用具有已知安全问题的过时版本。Sucuri 进一步报告称，36% 的受感染网站在修复时至少存在一个易受攻击的插件或主题。

流行的扩展是大多数黑客攻击的原因

哪些插件和主题引起问题的分布也很有趣。据 Sucuri 称，最常检测到的易受攻击的组件包括过时版本的 Contact Form 7 (27.44%)、Freemius Library (20.85%) 和 WooCommerce (14.51%)。还有其他一些。

那么，如果这些插件在安全方面做得如此糟糕，为什么我们仍然允许它们存在呢？在这里，同样的事情也适用于一般的 WordPress。不一定是这些插件更不安全，它们只是非常流行。仅 Contact Form 7 就有超过 500 万次安装。

另外，一旦安全问题出名，这些开发人员实际上在解决安全问题方面做得很好。仅当用户不应用它们时才会出现问题。此外，解决插件缺点的工作也在顺利进行。最近有一个关于插件检查器的提案，类似于正在进行中的主题检查插件。

那么，我们从中学到什么？保持主题和插件更新，就像 WordPress 网站的其他部分一样。

登录漏洞

登录凭据是网站遭受成功黑客攻击的另一个因素。弱用户名和密码会带来严重的安全风险。它们很容易通过暴力攻击和撞库攻击而受到损害。

当发生类似的情况时，您的网站的最新程度或插件和主题的安全性并不重要。一旦有人完全访问您的网站，他们的操作就几乎没有限制。

举个例子，Sucuri 在 32.69% 的受感染网站中发现了恶意 WordPress 管理员用户。仅供娱乐，以下是他们最常使用的用户名和电子邮件。

另一方面，这是最受用户直接控制的部分之一。例如，WordPress 附带一个自动安全密码生成器。为什么不利用它呢？

但是，您需要对与您网站相关的其他帐户（例如托管和 FTP 凭据）执行相同的操作。此外，还有其他措施来保护您的登录页面，例如限制登录尝试和双因素身份验证。

托管安全统计

托管环境及其中的技术也在安全性方面发挥着作用，尤其是运行 WordPress 的 PHP 版本。例如，PHP 7 引入了比其前身 PHP 5 更好的安全功能。

另外，PHP 开发人员对其旧版本有相当严格的终止政策。在撰写本文时，8.0 之前的任何版本都不再获得支持或安全修复，因此最好避免长期使用。

在这里，WordPress 看起来不太好。虽然绝大多数 WordPress 网站至少运行在 PHP 7.0 上，其中近一半运行在 7.4 上，但只有略多于四分之一的网站使用积极支持的版本。

甚至有大约 6% 仍然在 PHP 5.x 版本上运行，该版本已经多年没有得到任何支持。因此，如果您还没有更新您的 PHP 版本，请更新它。

WordPress 安全统计简述

没有 CMS 是 100% 安全的，事实上，连接到网络的任何内容都不是 100% 安全的。然而，尽管您可能在其他地方听到过这样的说法，WordPress 的安全统计数据总体上非常好。是的，有些问题需要解决，但大多数问题正在积极解决。

如果您想进一步提高数字，您可以遵循以下最佳实践：

• 保持 WordPress 及其插件和主题更新

• 仅使用来自可靠来源的扩展

• 对与您网站相关的所有内容使用强密码和凭据

• 考虑使用防火墙和/或 CDN

• 限制登录尝试

• 使用 SSL 证书加密您网站上的流量，包括仪表板

• 选择一个可以让您的 PHP 版本保持最新的主机

如果您遵循这些，那么至少您自己的 WordPress 网站应该拥有积极的安全统计数据。