WordPress 到底有多安全？很多新手可能會(huì)擔(dān)心這個(gè)問(wèn)題，特別是當(dāng)他們聽(tīng)說(shuō) WordPress 是一個(gè)開(kāi)源項(xiàng)目的時(shí)候。所以，有沒(méi)有一些數(shù)據(jù)可以幫我們了解 WordPress 的安全性呢？

答案是肯定的。在這篇文章里，我們盡可能收集了一些關(guān)于 WordPress 安全性的重要數(shù)據(jù)和信息。我們會(huì)從 WordPress 的核心、主題和插件的安全性，到登錄信息和托管服務(wù)的安全狀況，詳細(xì)探討一番。

我們的目的是讓你對(duì) WordPress 的安全狀況有個(gè)清楚的認(rèn)識(shí)，同時(shí)指出可能存在的風(fēng)險(xiǎn)，以及如何防范這些風(fēng)險(xiǎn)。

據(jù)統(tǒng)計(jì)，WordPress 是最受黑客攻擊的目標(biāo)

當(dāng)我們談?wù)?WordPress 的安全性，有個(gè)很重要的數(shù)字要記?。?3%。根據(jù) W3Techs 的數(shù)據(jù)，全球有這么多的網(wǎng)站是用 WordPress 建立的。注意，這個(gè)數(shù)字指的不是 WordPress 在所有內(nèi)容管理系統(tǒng)中的市場(chǎng)份額（實(shí)際上更高），而是它在整個(gè)互聯(lián)網(wǎng)上所有網(wǎng)站中的占比。

這個(gè)比例相當(dāng)高，說(shuō)明 WordPress 非常受歡迎。雖然這對(duì) WordPress 的支持者來(lái)說(shuō)是個(gè)好消息，但這也意味著它更容易成為黑客的攻擊目標(biāo)。

由于 WordPress 網(wǎng)站數(shù)量眾多，這個(gè)平臺(tái)成了黑客攻擊的重點(diǎn)。實(shí)際上，根據(jù) Sucuri 在 2022 年發(fā)布的威脅研究報(bào)告，WordPress 網(wǎng)站在所有被感染的網(wǎng)站中占比高達(dá) 96.2%。

聽(tīng)起來(lái)不太安全，是嗎？

當(dāng)你看到 WordPress 成為這么多黑客攻擊的目標(biāo)時(shí)，你可能會(huì)覺(jué)得這個(gè)平臺(tái)確實(shí)有安全漏洞。為什么它會(huì)成為黑客攻擊的主要對(duì)象呢？

原因很簡(jiǎn)單：WordPress 的普及度非常高，這使它成為了一個(gè)更顯眼、更吸引黑客的目標(biāo)。對(duì)黑客來(lái)說(shuō)，攻擊一個(gè)有數(shù)億網(wǎng)站使用的平臺(tái)比攻擊一個(gè)用戶群較小的平臺(tái)要更有效率，也更容易。黑客們很明智地利用了這一點(diǎn)。

壞消息是，確實(shí)有很多 WordPress 網(wǎng)站每年遭到黑客的成功攻擊。但好消息是，正如你接下來(lái)會(huì)看到的，這些攻擊并非不可避免。其實(shí)，許多成功的攻擊都是可以預(yù)防的。關(guān)鍵是要知道如何保護(hù)自己。

WordPress 核心漏洞統(tǒng)計(jì)

要判斷 WordPress 是否安全，我們先來(lái)看看有關(guān) WordPress 核心軟件的安全統(tǒng)計(jì)數(shù)據(jù)。

大多數(shù)被黑的網(wǎng)站尚未更新

根據(jù) Sucuri 的報(bào)告，大部分被黑入的 WordPress 網(wǎng)站使用的是舊版本。到 2022 年，超過(guò)半數(shù)的受到惡意軟件感染的網(wǎng)站沒(méi)有更新到 WordPress 的最新版本。

不意外，一些老舊的 CMS 版本已經(jīng)被發(fā)現(xiàn)有許多已知的安全漏洞。所以，如果你還在使用這些版本之一來(lái)運(yùn)行你的網(wǎng)站，那就等于是直接邀請(qǐng)別人來(lái)攻擊它。

實(shí)際上，大部分的安全問(wèn)題都集中在 WordPress 4.0 版本及以前的版本中。從那以后，安全漏洞的數(shù)量有了明顯的下降。

Sucuri 的研究也顯示了這種趨勢(shì)。和以前相比，因?yàn)闆](méi)有更新而遭到黑客攻擊的 WordPress 網(wǎng)站的數(shù)量正在減少。

實(shí)際上，在他們調(diào)查的所有內(nèi)容管理系統(tǒng)中，WordPress 因?yàn)槭褂玫氖桥f版本而遭受感染的情況比例是最小的。

這個(gè)趨勢(shì)已經(jīng)持續(xù)了兩年，期間 WordPress 因舊版本受到感染的情況稍微減少了。這是與 2021 年數(shù)據(jù)的對(duì)比結(jié)果。

這是用戶問(wèn)題，而不是 WordPress 問(wèn)題

WordPress 用戶有多勤快地更新他們的網(wǎng)站呢？事實(shí)上，很多人都沒(méi)能跟上。這里是 WordPress.org 記錄的野生環(huán)境中網(wǎng)站運(yùn)行的 WordPress 版本分布情況。

從數(shù)據(jù)來(lái)看，只有約 60% 的用戶安裝了最新版本的 WordPress。不過(guò)，好消息是，大多數(shù)用戶至少運(yùn)行在較安全的 WordPress 4.0 或更高版本上，且四分之三的用戶至少更新到了最新的主版本，這是一個(gè)進(jìn)步。比如在 2016 年，僅有大約 50% 的用戶這樣做。

這個(gè)進(jìn)步的原因之一，可能是 WordPress 5.6 版本引入的自動(dòng)更新功能。用戶不再需要手動(dòng)點(diǎn)擊更新按鈕，網(wǎng)站能夠自動(dòng)安裝新版本的 WordPress，這肯定促進(jìn)了更新的積極態(tài)勢(shì)。

WordPress 安全基礎(chǔ)設(shè)施有效

雖然不是所有用戶都積極更新他們的網(wǎng)站，WordPress 的核心安全團(tuán)隊(duì)還是能夠有效應(yīng)對(duì)并及時(shí)修復(fù)每個(gè)新版本中發(fā)現(xiàn)的安全問(wèn)題。在 2023 年，WordPress 已經(jīng)推出了三個(gè)專注于安全的更新版本，解決了大約 20 到 30 個(gè)潛在的安全漏洞，其中單獨(dú)的 WordPress 6.0.3 版本就修復(fù)了 16 個(gè)安全問(wèn)題。而在 2022 年，WordPress 發(fā)布了四個(gè)專門修復(fù)安全問(wèn)題的版本，總共修復(fù)了 26 個(gè)漏洞。

這種對(duì)安全的重視不僅限于 WordPress 核心軟件，它還擴(kuò)展到了整個(gè)生態(tài)系統(tǒng)。例如，當(dāng) Elementor 遇到一個(gè)重大安全漏洞時(shí)，它被迅速修復(fù)了。同樣，Ninja Forms 在收到 WordPress.org 的強(qiáng)制更新后也解決了安全問(wèn)題，BackupBuddy 也迅速修復(fù)了一個(gè)高危安全漏洞，并向用戶推送了更新。

所以，盡管 WordPress 像任何其他軟件一樣可能遇到安全挑戰(zhàn)，但它擁有快速應(yīng)對(duì)這些挑戰(zhàn)的保護(hù)措施。最大的挑戰(zhàn)是確保用戶及時(shí)應(yīng)用這些安全更新和修補(bǔ)程序。

WordPress 主題和插件安全統(tǒng)計(jì)

作為世界上最受歡迎的內(nèi)容管理系統(tǒng)，WordPress 提供了海量的擴(kuò)展功能，很多還是免費(fèi)的。到目前為止，僅 WordPress 的官方目錄里就包含了將近 60,000 個(gè)插件和超過(guò) 11,000 個(gè)主題。

除了 WordPress 官方目錄之外，網(wǎng)上還有成千上萬(wàn)的其他插件，很多都是付費(fèi)的高級(jí)選項(xiàng)。這讓 WordPress 成為一個(gè)強(qiáng)大的平臺(tái)，因?yàn)椴还苣阈枰裁垂δ埽苡锌赡芤呀?jīng)有人開(kāi)發(fā)出了解決方案。

但是，網(wǎng)站上每安裝一個(gè)額外的插件或主題，就可能給攻擊者打開(kāi)了一個(gè)新的大門。這些擴(kuò)展是由各種開(kāi)發(fā)者負(fù)責(zé)，它們可能沒(méi)有經(jīng)過(guò)像 WordPress 核心軟件那樣嚴(yán)格的審查，因此更有可能隱藏安全風(fēng)險(xiǎn)。而且，有時(shí)開(kāi)發(fā)者可能不再更新他們的產(chǎn)品，使這些插件和主題變得陳舊。

這就是為什么插件尤其在 WordPress 安全問(wèn)題中占據(jù)了如此重要的地位。WPScan.com 的數(shù)據(jù)顯示，插件是 WordPress 大部分安全漏洞的來(lái)源。

Patchstack也得到了類似的數(shù)字。

顯然，免費(fèi)插件對(duì)WordPress安全構(gòu)成了較大風(fēng)險(xiǎn)。據(jù)Sucuri的研究，付費(fèi)的主題和插件只構(gòu)成了所有第三方漏洞的小部分（8.62%），而大多數(shù)（91.38%）來(lái)自免費(fèi)擴(kuò)展。

另一個(gè)常見(jiàn)的問(wèn)題是網(wǎng)站繼續(xù)使用已知存在安全隱患的舊版本插件或主題。Sucuri的數(shù)據(jù)顯示，在發(fā)現(xiàn)受感染的網(wǎng)站時(shí)，有36%至少安裝了一個(gè)已知存在漏洞的插件或主題。

流行的擴(kuò)展是大多數(shù)黑客攻擊的原因

有趣的是，問(wèn)題插件和主題的分布很廣泛。Sucuri報(bào)告指出，一些最容易遭受攻擊的插件包括老版本的Contact Form 7（占27.44%）、Freemius Library（占20.85%）和WooCommerce（占14.51%）。此外，還有其他幾個(gè)也在名單上。

那我們?yōu)槭裁催€要使用這些存在安全問(wèn)題的插件呢？實(shí)際上，問(wèn)題并不在于這些插件本身的安全性，而是因?yàn)樗鼈兎浅Ｊ軞g迎。比如，Contact Form 7 就有超過(guò)500萬(wàn)次安裝。

而且，一旦安全問(wèn)題被發(fā)現(xiàn)，這些插件的開(kāi)發(fā)團(tuán)隊(duì)通常會(huì)迅速解決。問(wèn)題主要出現(xiàn)在用戶沒(méi)有及時(shí)更新插件。同時(shí)，為了解決這些安全隱患，還在進(jìn)行一些工作，比如提出了一種插件檢查器的提案，這和主題檢查工具的想法很相似。

因此，我們需要記住的關(guān)鍵是保持主題和插件的更新，這和維護(hù)WordPress網(wǎng)站的其他部分一樣重要。

登錄漏洞

登錄信息是另一個(gè)導(dǎo)致網(wǎng)站易受黑客攻擊的關(guān)鍵因素。如果使用簡(jiǎn)單的用戶名和密碼，那么通過(guò)暴力破解或撞庫(kù)攻擊破解這些憑據(jù)將變得非常容易。

在這種情況下，無(wú)論您的網(wǎng)站多么更新，或者您的插件和主題有多安全，一旦有人獲得了對(duì)您網(wǎng)站的完全訪問(wèn)權(quán)限，他們能做的就沒(méi)有什么限制了。

例如，Sucuri 發(fā)現(xiàn)，在32.69%的受感染的網(wǎng)站中，有惡意的WordPress管理員用戶。下面是一些他們經(jīng)常使用的用戶名和電子郵件地址的例子。

另一方面，這部分是用戶能直接控制的地方之一。比如，WordPress 自帶的自動(dòng)生成安全密碼的功能，為什么不用起來(lái)呢？

不過(guò)，你也需要對(duì)網(wǎng)站的其他賬戶采取同樣的措施，比如你的托管賬戶和FTP憑證。除此之外，還有其他方法可以增強(qiáng)你的登錄頁(yè)面安全性，比如限制登錄嘗試次數(shù)和啟用雙重認(rèn)證。

托管安全統(tǒng)計(jì)

托管環(huán)境和所用技術(shù)對(duì)網(wǎng)站的安全也很重要，特別是對(duì)于運(yùn)行WordPress的PHP版本。例如，PHP 7相比之前的PHP 5引入了更好的安全特性。

此外，PHP開(kāi)發(fā)者對(duì)老版本實(shí)行了嚴(yán)格的停止支持政策。截至本文撰寫時(shí)，PHP 8.0以前的版本已經(jīng)停止了支持和安全更新，所以最好不要長(zhǎng)期使用這些舊版本。

在這里，WordPress 看起來(lái)不太好。雖然絕大多數(shù) WordPress 網(wǎng)站至少運(yùn)行在 PHP 7.0 上，其中近一半運(yùn)行在 7.4 上，但只有略多于四分之一的網(wǎng)站使用積極支持的版本。

甚至有大約 6% 仍然在 PHP 5.x 版本上運(yùn)行，該版本已經(jīng)多年沒(méi)有得到任何支持。因此，如果您還沒(méi)有更新您的 PHP 版本，請(qǐng)更新它。

WordPress 安全統(tǒng)計(jì)簡(jiǎn)述

沒(méi)有一個(gè)CMS是百分之百安全的，事實(shí)上，任何連接到網(wǎng)絡(luò)上的東西都不可能完全安全。不過(guò)，盡管你可能在別處聽(tīng)到過(guò)不同的說(shuō)法，WordPress的安全記錄整體上是相當(dāng)不錯(cuò)的。是的，存在一些問(wèn)題需要被解決，但是大多數(shù)問(wèn)題都在積極地得到處理。

如果你想讓你的網(wǎng)站更安全，可以遵循以下幾條建議：

• 始終更新你的WordPress、插件和主題到最新版本。
• 只使用來(lái)自可信來(lái)源的擴(kuò)展功能。
• 為你網(wǎng)站的所有賬戶使用強(qiáng)密碼。
• 考慮使用防火墻或CDN。
• 限制登錄嘗試次數(shù)。
• 用SSL證書來(lái)加密網(wǎng)站流量，包括后臺(tái)管理頁(yè)面。
• 選擇一個(gè)能保持PHP版本更新的托管服務(wù)。

遵循這些建議，你的WordPress網(wǎng)站至少在安全方面能有一個(gè)積極的記錄。

聯(lián)系我們
教程看不懂？聯(lián)系我們?yōu)槟赓M(fèi)解答！免費(fèi)助力個(gè)人，小企站點(diǎn)！	客服微信
① 電話：020-2206-9892
② QQ咨詢：1025174874
③ 郵件：info@361sale.com
④ 工作時(shí)間：周一至周五，9:30-18:30，節(jié)假日休息