WordPress安全分析：究竟有多安全？

WordPress是否安全？很多新用户都会问这个问题，特别是当他们知道WordPress是一个开源平台时，心中中难免会有顾虑。那么，我们今天用数据来回答这个问题。

我会从WordPress核心、主题和插件的安全，登录信息的保护，以及托管服务的安全性等方面的统计信息和报告来进行探讨。

我的目标是让你不仅能了解到WordPress的整体安全状况，还能明白潜在的风险在哪里，以便你可以采取措施加以解决。

WordPress：黑客攻击的首选目标？

根据W3Techs的数据，WordPress的使用率占 43.3%，这个数字表示全球使用WordPress的网站所占的比例。注意，这个比例指的不是WordPress在内容管理系统市场上的份额（那会更高），而是指它在全网所有网站中所占的比重。

当然了，WordPress网站因其数量众多，成为黑客攻击的主要目标。根据Sucuri 2022年的研究报告，几乎所有被感染的网站中有96.2%是运行WordPress的。这意味着WordPress网站的安全需要格外注意，以保护免受攻击。

WordPress本身不安全？

当你听到WordPress站点成为黑客攻击主要目标的这种统计数据时，可能会觉得WordPress不够安全。但真相是，WordPress之所以成为攻击的焦点，主要是因为它非常受欢迎，使用广泛，这让它成为了黑客更喜欢的目标。毕竟，攻击一个拥有数亿网站的平台，比攻击使用量小得多的平台要有效率得多。确实，每年都有很多WordPress网站遭受黑客攻击，但许多这样的攻击其实是可以避免的。问题不在于WordPress本身不安全，而在于很多网站管理员没有采取必要的安全措施来保护自己的网站。简单来说，只要知道如何保护你的网站，就能有效防止这些攻击。

1.WordPress版本问题分析

要了解 WordPress 的安全性，我们先从 WordPress 核心软件本身的安全性统计开始。事实证明，大量遭到黑客攻击的 WordPress 网站并未更新到最新版本。根据 Sucuri 的一份报告，到 2022 年，超过一半感染恶意软件的 WordPress 网站都在过时的版本上运行。这凸显了保持 WordPress 网站更新以防止已知漏洞的重要性。

众所周知，旧版本的内容管理系统存在已公开披露的安全漏洞。因此，如果您继续在这些版本之一上运行您的网站，就好像您在邀请某人利用这些安全漏洞。

事实上，WordPress 中最多的安全问题出现在 4.0 之前的版本中。从那时起，漏洞数量稳步减少，凸显了更新 WordPress 网站的重要性。

根据WordPress.org 跟踪的网站上运行的 WordPress 版本，使用最新版本的占约67%，可看出绝大多数是在 WordPress 4.0 或更高版本上运行。

WordPress 5.6 版本引入的自动更新功能，改变了网站维护的方式。用户不再需要手动点击更新按钮，因为网站会自动安装最新的 WordPress 版本。这种变化有助于保持网站的安全性，因为它确保了网站总是运行最新、最安全的软件版本，从而减少了安全漏洞的风险。

2.WordPress 安全基础设施分析

虽然有些用户可能不经常更新他们的 WordPress 网站，但 WordPress 的安全团队仍然保持着高效的工作，快速发现并修复每个版本中的安全问题。2022 年该发布了 4 个安全版本，共解决了 26 个安全漏洞，在2024年1月就对WordPress 6.4.3版本中修复了23个漏洞。

WordPress 生态系统中的插件和主题也保持了高度警惕性，迅速修复了安全漏洞。例如，页面构建器 Elementor 修复了一个严重的安全问题，表单插件 Ninja Forms 接受了 WordPress.org 的强制更新，而备份插件 BackupBuddy 也解决了一个高危安全漏洞，并推送了更新给用户。这些行动展示了 WordPress 社区对于维护安全性的快速反应和承诺。

就像其他软件一样，WordPress也会面临安全问题，但它拥有快速解决这些问题的强大机制。尽管如此，最大的挑战仍然是让用户采纳这些安全更新和解决方案。

3.WordPress 主题和插件安全分析

WordPress 生态系统中的绝大多数漏洞都源自插件，其中 92% 的已报告漏洞源自插件。相比之下，WordPress 核心和主题只占问题的一小部分。作为最热门的网站建设平台，WordPress 提供了许多插件，很多还是免费的。这凸显了网站所有者仔细的插件管理和遵守安全最佳实践的重要性​（Hostinger ）。

因此，每个你添加到网站上的插件和主题都可能成为黑客攻击的门户。这些扩展由不同的开发者制作，它们可能没有经过和WordPress核心一样严格的安全测试，这意味着它们更可能含有安全漏洞。而且，有时候开发者可能不再更新他们的产品，使得这些插件和主题过时，安全风险增加。

所以，插件和主题在WordPress安全问题中占据了重要的位置，特别是插件。根据WPScan的数据，它们构成了WordPress绝大多数的安全漏洞。

很明显，免费的插件安全是一个问题。

如何避免这些问题？

及时更新、维护插件和主题，流行插件和主题往往也是许多黑客攻击的原因。例如，Sucuri 报告显示，一些最容易受到攻击的WordPress组件包括旧版本的Contact Form 7、Freemius Library和WooCommerce。这说明了更新和维护插件和主题的重要性，以防止安全漏洞。

4.登录信息的安全性分析

登录信息的安全性是防止网站遭受黑客攻击的重要方面。简单的用户名和密码增加了被破解的风险，使网站易受暴力攻击和撞库攻击。即便网站本身和插件都更新到最新，如果黑客获得了网站的完全访问权限，他们就能随意操作。Sucuri的研究显示，在2022年受感染的网站中，有超过三分之一发现了被植入的恶意WordPress管理员账户，这揭示了登录安全性的重要性。

用户有直接控制权的一个方面是登录信息的安全。例如，WordPress 提供了一个自动生成安全密码的功能，非常值得使用。此外，对于网站的其他账户，如托管和FTP，也应采取相同的安全措施。还可以通过限制登录尝试次数和使用双因素身份验证等手段进一步加强登录页面的安全。这些都是提高网站安全性的简单而有效的方法。

5.托管安全分析

托管环境及其中的技术也在安全性方面发挥重要作用，尤其是运行WordPress的PHP版本。例如，PHP 7 引入了比其前身 PHP 5 更好的安全功能，绝大多数运行高的PHP版本。

在不同版本速度测试中，WordPress 在较新的 PHP 版本中表现更好。

WordPress 的安全性总结：
虽然没有完全安全的 CMS 系统，但WordPress 的安全状况总体上还是很不错的。虽然存在一些问题，但许多问题都在得到积极解决。为了进一步增强网站安全，你可以遵循一些最佳实践，比如保持 WordPress、插件和主题的更新，只使用可信来源的扩展，使用强密码，考虑使用防火墙或 CDN，限制登录尝试，为网站流量使用 SSL 证书加密，以及选择能够保持 PHP 版本最新的主机。遵守这些建议，你的 WordPress 网站就能拥有更好的安全表现。