Насколько безопасен WordPress на самом деле

Действительно ли WordPress безопасен? Этот вопрос, вероятно, интересует многих новых пользователей,...

7 ноября 14 минут WordPress

Действительно ли WordPress безопасен? Этот вопрос, вероятно, интересует многих новых пользователей, особенно когда они узнают, что это проект с открытым исходным кодом. Так есть ли статистика по безопасности WordPress, которая может дать ответ на этот вопрос?

На самом деле, есть, и в этой статье мы постарались собрать как можно больше полезных цифр на эту тему. Ниже мы рассмотрим статистические данные и отчеты, касающиеся безопасности ядра WordPress, тем и плагинов, учетных данных и работы хостингов.

В итоге мы хотим, чтобы вы не только имели представление о состоянии безопасности WordPress, но и точно знали, где кроются риски, и могли их устранить.

По статистике, WordPress является самой популярной целью хакеров

Первая цифра, которая имеет значение при разговоре о безопасности WordPress, 43%. По данным W3Techs, это мировая доля сайтов, работающих на WordPress. Заметьте, речь идет не о доле рынка систем управления контентом (она выше), а о доле всех сайтов в Интернете.

Это довольно большое значение. И это важно, потому что, несмотря на то, что поклонникам WordPress есть чем гордиться, у этого показателя есть и обратная сторона – риск взлома.

Огромное количество сайтов, работающих на WordPress, подтверждает, что эта платформа является главной мишенью для хакеров. Так, в отчете Sucuri об исследовании угроз за 2022 год на долю сайтов WordPress пришлось 96,2% всех зараженных сайтов в сети.

Насколько безопасен WordPress на самом деле

WordPress не совсем безопасен, не так ли?

Когда вы видите подобную статистику в совокупности, первой мыслью может быть то, что у WordPress действительно есть проблемы с безопасностью. Иначе почему на ее долю приходится такое огромное количество успешных взломов?

Именно поэтому мы начали с первой цифры. WordPress просто является более заметной и наиболее выгодной целью. Использовать систему, позволяющую атаковать буквально сотни миллионов сайтов, а не систему с гораздо меньшим числом пользователей, гораздо экономичнее и эффективнее. Видимо, так же думают и хакеры.

Плохая новость заключается в том, что зачастую им это удается. Ежегодно сотни тысяч WordPress-сайтов успешно взламываются. Хорошая новость заключается в том, что, как будет показано ниже, это происходит не потому, что WordPress по своей сути небезопасен. На самом деле, многих успешных взломов вполне можно избежать. Просто нужно знать, как защитить ваш проект.

Статистика уязвимостей ядра WordPress

В поисках ответа на вопрос, безопасно ядро WordPress или нет, начнем со статистики безопасности основного программного обеспечения WordPress.

Большинство взломанных сайтов не обновлялись

Согласно отчету Sucuri, большинство взломанных WordPress-сайтов устарело. В 2022 году более половины сайтов, зараженных вредоносным ПО, работали не на последней версии WordPress.

Насколько безопасен WordPress на самом деле

В этом нет ничего удивительного, некоторые старые версии CMS имеют хорошо известные проблемы с безопасностью, которые были публично раскрыты. Поэтому, если вы продолжаете работать со своим сайтом на одной из них, вы просто даете кому-то возможность воспользоваться этим.

Об этом свидетельствует и отчет компании Sucuri. По сравнению с предыдущими цифрами, доля сайтов WordPress, взломанных из-за отсутствия обновлений, снизилась.

На самом деле, наиболее уязвимыми версиями WordPress являются версии вплоть до версии 4.0. С тех пор количество уязвимостей неуклонно снижается.

Насколько безопасен WordPress на самом деле

Более того, WordPress имеет наименьшую долю заражений из-за устаревших версий среди всех CMS, с которыми они сталкивались.

 

Насколько безопасен WordPress на самом деле_1

Так происходит уже два года подряд, и за это время доля WordPress немного снизилась.

Насколько безопасен WordPress на самом деле_3

Для сравнения приведем данные по 2021 году.

Насколько безопасен WordPress на самом деле_4

 

Это проблема пользователей, а не WordPress

Как же обстоят дела с обновлением сайтов у пользователей WordPress? Многие не обновляют. Вот версии WordPress, используемые на веб-сайтах, отслеживаемые WordPress.org.

Это проблема пользователей, а не WordPress

Как видно, только около 60% из них работают на самой последней версии. Однако есть и хорошая новость: по крайней мере, подавляющее большинство пользователей работает на WordPress 4.0 и выше, где ситуация с уязвимостями становится гораздо лучше. Кроме того, три четверти пользователей обновились до последней основной версии, что значительно лучше, чем раньше. В 2016 году эта доля составляла лишь около 50%.

Одной из причин этого, скорее всего, являются автоматические обновления, появившиеся в версии 5.6. Больше не нужно полагаться на то, что пользователи вручную нажмут кнопку «Обновить». Вместо этого сайты могут автоматически устанавливать новые версии WordPress, что, очевидно, и способствовало такой положительной динамике. А как отключить автоматическое обновление сайта WordPress мы уже писали об этом.

Это проблема пользователей, а не WordPress_1

Система безопасности WordPress работает

Несмотря на нежелание пользователей обновлять свои сайты, система безопасности ядра WordPress отлично справляется со своей задачей. Команда безопасности WordPress быстро находит и исправляет проблемы в каждом новом релизе WordPress.

В 2023 году уже вышло три релиза системы безопасности, в которых было исправлено 20-30 потенциальных уязвимостей. Одна только версия WordPress 6.0.3 содержала 16 исправлений. В 2022 году в проекте также было четыре релиза безопасности, в которых в общей сложности было устранено 26 ошибок безопасности.

Кроме того, эта работа распространяется и на другие части экосистемы. В Elementor была обнаружена критическая уязвимость, которая была быстро устранена, Ninja Forms получил принудительное обновление от WordPress.org, а BackupBuddy также исправила серьезную брешь в системе безопасности и разослала обновленную версию своим пользователям.

Система безопасности WordPress работает

Таким образом, несмотря на то, что WordPress, как и любое другое программное обеспечение, имеет проблемы с безопасностью, в нем предусмотрены средства защиты от сбоев, которые быстро справляются с ними. Одно из самых больших трудностей — заставить пользователей применять эти решения.

Статистика безопасности тем и плагинов WordPress

Будучи самой популярной CMS, WordPress имеет огромное количество расширений, многие из которых распространяются бесплатно. На момент написания статьи только в каталоге WordPress насчитывается почти 60 000 плагинов, а также более 11 000 тем.

Статистика безопасности тем и плагинов WordPress

Это даже не считая тысяч других плагинов, которые доступны в других разделах Интернета, часто в качестве премиум-решений. В этом и заключается вся прелесть WordPress: что бы вы ни искали, скорее всего, для этого уже есть решение.

В то же время каждое расширение, которое вы устанавливаете на свой сайт, является потенциальной точкой доступа для злоумышленника. За темы и плагины отвечают отдельные разработчики. Они не тестируются так тщательно, как ядро WordPress, и поэтому с большей вероятностью могут содержать недостатки безопасности. Кроме того, иногда разработчики просто перестают поддерживать свои разработки, и они устаревают.

Поэтому неудивительно, что они играют большую роль в статистике безопасности WordPress, особенно плагины. Ведь, по данным WPScan.com, именно они содержат подавляющее большинство уязвимостей WordPress.

Статистика безопасности тем и плагинов WordPress

Аналогичные цифры получены и в Patchstack.

Статистика безопасности тем и плагинов WordPress

По-видимому, особенно проблемными являются бесплатные плагины. По данным Sucuri, на премиум-темы и плагины приходится 8,62% всех уязвимостей сторонних разработчиков, в то время как на бесплатные расширения — 91,38%.

Здесь также распространенной проблемой является использование владельцами сайтов устаревших версий с известными проблемами безопасности. Sucuri также сообщает, что на 36% всех взломанных сайтов при исправлении присутствовал хотя бы один уязвимый плагин или тема.

Большинство взломов приходится на популярные расширения

Интересно также распределение плагинов и тем, вызывающих проблемы. По данным Sucuri, наиболее часто обнаруживаемые уязвимые компоненты включают устаревшие версии Contact Form 7 (27,44%), Freemius Library (20,85%) и WooCommerce (14,51%). Есть и несколько других.

Большинство взломов приходится на популярные расширения

Так почему же мы все еще позволяем этим плагинам существовать, если они так плохо справляются с задачей обеспечения безопасности? Здесь действует то же самое, что и в случае с WordPress в целом. Дело не в том, что эти плагины являются более ненадежными, просто они очень популярны. Только Contact Form 7 имеет более пяти миллионов установок.

Кроме того, разработчики этих плагинов действительно хорошо справляются с исправлением проблем безопасности, как только о них становится известно. Проблема возникает только тогда, когда пользователи не применяют их. Кроме того, в настоящее время ведется активная работа по устранению недостатков подключаемых модулей. Недавно было предложено создать программу проверки плагинов, аналогичную плагину проверки тем, который уже находится в разработке.

Итак, что мы можем из этого понять? Обязательно, постоянно обновляйте темы и плагины, как и остальные компоненты сайта WordPress и устанавливайте самые необходимые плагины.

Уязвимости при входе в систему

Еще одним фактором успешного взлома веб-сайтов являются учетные данные для входа в систему. Слабые имена пользователей и пароли представляют собой серьезную угрозу безопасности. Их легко скомпрометировать с помощью атак методом перебора и подстановки паролей.

Когда подобное происходит, уже не имеет значения, насколько современен ваш сайт, насколько надежно защищены плагины и темы. Как только кто-то получает полный доступ к вашему сайту, его возможности практически не ограничены.

Так, компания Sucuri обнаружила вредоносных администраторов WordPress на 32,69% зараженных сайтах. Для наглядности приведем имена пользователей и электронные адреса, которые они чаще всего использовали.

Уязвимости при входе в систему

С другой стороны, это одна из тех составляющих, которая находится под непосредственным контролем пользователей. Например, WordPress имеет автоматический генератор безопасных паролей. Почему бы не воспользоваться им? Или создать свою форму входа на сайт.

Однако то же самое необходимо сделать и для других учетных записей, связанных с вашим сайтом, таких как хостинг и учетные данные FTP. Кроме того, существуют дополнительные меры по защите страницы входа в систему, такие как ограничение попыток входа и двухфакторная аутентификация.

Безопасность на уровне хостинга

Среда хостинга и используемые в ней технологии также играют роль в обеспечении безопасности, особенно версия PHP, на которой работает WordPress. Например, в PHP 7 реализованы более совершенные функции безопасности, чем в его предшественнике PHP 5.

Кроме того, разработчики PHP придерживаются довольно жесткой политики окончания срока службы своих старых версий. На момент написания этой статьи версии до 8.0 больше не поддерживаются и не исправляются, поэтому в долгосрочной перспективе их лучше избегать.

Безопасность на уровне хостинга

Здесь WordPress выглядит не лучшим образом. Хотя подавляющее большинство сайтов WordPress работает как минимум на PHP 7.0, а почти половина — на 7.4, лишь немногим более четверти используют активно поддерживаемые версии PHP.

Есть даже некоторые 6%, которые до сих пор работают на PHP 5.x, который уже несколько лет не поддерживается. Поэтому, если вы еще не сделали этого, обновите версию PHP сайта WordPress.

Резюмируем

Ни одна CMS на текущий момент не является на 100% защищенной, как, впрочем, и все, что связано с Интернетом. Тем не менее, несмотря на то, что можно услышать в других источниках, статистика безопасности WordPress в целом очень хорошая. Да, есть проблемы, требующие устранения, но большинство из них активно решаются в кротчайшие сроки.

Если вы хотите еще обезопасить свой проект на WordPress, то можете сделать это, следуя следующим рекомендациям:

  • Постоянно обновляйте WordPress, его плагины и темы.
  • Используйте расширения только из надежных источников.
  • Используйте надежные пароли и учетные данные для всего, что связано с вашим сайтом.
  • Рассмотрите возможность использования брандмауэра и/или CDN.
  • Ограничьте количество попыток входа в систему.
  • Используйте SSL-сертификат для шифрования трафика на вашем сайте, включая панель управления.
  • Выбирайте хостинг, позволяющий поддерживать версию PHP в актуальном состоянии.
  • Защитите файл wp-config.php.
  • Отключите возможность изменения файлов в админ-панели WordPress

Если вы будете следовать этим рекомендациям, у вас должна быть положительная статистика по безопасности, по крайней мере, для вашего собственного ресурса. Если все же вас взломали вы можете всегда восстановить свой сайт WordPress.

Была ли эта статья полезной?

34 из 34 считают статью полезной

Рейтинг: 5.00
Войти на сайт Регистрация Забыли пароль? Помощь