WordPress 安全深度分析：了解其真实安全性

WordPress 到底有多安全？很多新手可能会担心这个问题，特别是当他们听说 WordPress 是一个开源项目的时候。所以，有没有一些数据可以帮我们了解 WordPress 的安全性呢？

答案是肯定的。在这篇文章里，我们尽可能收集了一些关于 WordPress 安全性的重要数据和信息。我们会从 WordPress 的核心、主题和插件的安全性，到登录信息和托管服务的安全状况，详细探讨一番。

我们的目的是让你对 WordPress 的安全状况有个清楚的认识，同时指出可能存在的风险，以及如何防范这些风险。

据统计，WordPress 是最受黑客攻击的目标

当我们谈论 WordPress 的安全性，有个很重要的数字要记住：43%。根据 W3Techs 的数据，全球有这么多的网站是用 WordPress 建立的。注意，这个数字指的不是 WordPress 在所有内容管理系统中的市场份额（实际上更高），而是它在整个互联网上所有网站中的占比。

这个比例相当高，说明 WordPress 非常受欢迎。虽然这对 WordPress 的支持者来说是个好消息，但这也意味着它更容易成为黑客的攻击目标。

由于 WordPress 网站数量众多，这个平台成了黑客攻击的重点。实际上，根据 Sucuri 在 2022 年发布的威胁研究报告，WordPress 网站在所有被感染的网站中占比高达 96.2%。

听起来不太安全，是吗？

当你看到 WordPress 成为这么多黑客攻击的目标时，你可能会觉得这个平台确实有安全漏洞。为什么它会成为黑客攻击的主要对象呢？

原因很简单：WordPress 的普及度非常高，这使它成为了一个更显眼、更吸引黑客的目标。对黑客来说，攻击一个有数亿网站使用的平台比攻击一个用户群较小的平台要更有效率，也更容易。黑客们很明智地利用了这一点。

坏消息是，确实有很多 WordPress 网站每年遭到黑客的成功攻击。但好消息是，正如你接下来会看到的，这些攻击并非不可避免。其实，许多成功的攻击都是可以预防的。关键是要知道如何保护自己。

WordPress 核心漏洞统计

要判断 WordPress 是否安全，我们先来看看有关 WordPress 核心软件的安全统计数据。

大多数被黑的网站尚未更新

根据 Sucuri 的报告，大部分被黑入的 WordPress 网站使用的是旧版本。到 2022 年，超过半数的受到恶意软件感染的网站没有更新到 WordPress 的最新版本。

不意外，一些老旧的 CMS 版本已经被发现有许多已知的安全漏洞。所以，如果你还在使用这些版本之一来运行你的网站，那就等于是直接邀请别人来攻击它。

实际上，大部分的安全问题都集中在 WordPress 4.0 版本及以前的版本中。从那以后，安全漏洞的数量有了明显的下降。

Sucuri 的研究也显示了这种趋势。和以前相比，因为没有更新而遭到黑客攻击的 WordPress 网站的数量正在减少。

实际上，在他们调查的所有内容管理系统中，WordPress 因为使用的是旧版本而遭受感染的情况比例是最小的。

这个趋势已经持续了两年，期间 WordPress 因旧版本受到感染的情况稍微减少了。这是与 2021 年数据的对比结果。

这是用户问题，而不是 WordPress 问题

WordPress 用户有多勤快地更新他们的网站呢？事实上，很多人都没能跟上。这里是 WordPress.org 记录的野生环境中网站运行的 WordPress 版本分布情况。

从数据来看，只有约 60% 的用户安装了最新版本的 WordPress。不过，好消息是，大多数用户至少运行在较安全的 WordPress 4.0 或更高版本上，且四分之三的用户至少更新到了最新的主版本，这是一个进步。比如在 2016 年，仅有大约 50% 的用户这样做。

这个进步的原因之一，可能是 WordPress 5.6 版本引入的自动更新功能。用户不再需要手动点击更新按钮，网站能够自动安装新版本的 WordPress，这肯定促进了更新的积极态势。

WordPress 安全基础设施有效

虽然不是所有用户都积极更新他们的网站，WordPress 的核心安全团队还是能够有效应对并及时修复每个新版本中发现的安全问题。在 2023 年，WordPress 已经推出了三个专注于安全的更新版本，解决了大约 20 到 30 个潜在的安全漏洞，其中单独的 WordPress 6.0.3 版本就修复了 16 个安全问题。而在 2022 年，WordPress 发布了四个专门修复安全问题的版本，总共修复了 26 个漏洞。

这种对安全的重视不仅限于 WordPress 核心软件，它还扩展到了整个生态系统。例如，当 Elementor 遇到一个重大安全漏洞时，它被迅速修复了。同样，Ninja Forms 在收到 WordPress.org 的强制更新后也解决了安全问题，BackupBuddy 也迅速修复了一个高危安全漏洞，并向用户推送了更新。

所以，尽管 WordPress 像任何其他软件一样可能遇到安全挑战，但它拥有快速应对这些挑战的保护措施。最大的挑战是确保用户及时应用这些安全更新和修补程序。

WordPress 主题和插件安全统计

作为世界上最受欢迎的内容管理系统，WordPress 提供了海量的扩展功能，很多还是免费的。到目前为止，仅 WordPress 的官方目录里就包含了将近 60,000 个插件和超过 11,000 个主题。

除了 WordPress 官方目录之外，网上还有成千上万的其他插件，很多都是付费的高级选项。这让 WordPress 成为一个强大的平台，因为不管你需要什么功能，很有可能已经有人开发出了解决方案。

但是，网站上每安装一个额外的插件或主题，就可能给攻击者打开了一个新的大门。这些扩展是由各种开发者负责，它们可能没有经过像 WordPress 核心软件那样严格的审查，因此更有可能隐藏安全风险。而且，有时开发者可能不再更新他们的产品，使这些插件和主题变得陈旧。

这就是为什么插件尤其在 WordPress 安全问题中占据了如此重要的地位。WPScan.com 的数据显示，插件是 WordPress 大部分安全漏洞的来源。

Patchstack也得到了类似的数字。

显然，免费插件对WordPress安全构成了较大风险。据Sucuri的研究，付费的主题和插件只构成了所有第三方漏洞的小部分（8.62%），而大多数（91.38%）来自免费扩展。

另一个常见的问题是网站继续使用已知存在安全隐患的旧版本插件或主题。Sucuri的数据显示，在发现受感染的网站时，有36%至少安装了一个已知存在漏洞的插件或主题。

流行的扩展是大多数黑客攻击的原因

有趣的是，问题插件和主题的分布很广泛。Sucuri报告指出，一些最容易遭受攻击的插件包括老版本的Contact Form 7（占27.44%）、Freemius Library（占20.85%）和WooCommerce（占14.51%）。此外，还有其他几个也在名单上。

那我们为什么还要使用这些存在安全问题的插件呢？实际上，问题并不在于这些插件本身的安全性，而是因为它们非常受欢迎。比如，Contact Form 7 就有超过500万次安装。

而且，一旦安全问题被发现，这些插件的开发团队通常会迅速解决。问题主要出现在用户没有及时更新插件。同时，为了解决这些安全隐患，还在进行一些工作，比如提出了一种插件检查器的提案，这和主题检查工具的想法很相似。

因此，我们需要记住的关键是保持主题和插件的更新，这和维护WordPress网站的其他部分一样重要。

登录漏洞

登录信息是另一个导致网站易受黑客攻击的关键因素。如果使用简单的用户名和密码，那么通过暴力破解或撞库攻击破解这些凭据将变得非常容易。

在这种情况下，无论您的网站多么更新，或者您的插件和主题有多安全，一旦有人获得了对您网站的完全访问权限，他们能做的就没有什么限制了。

例如，Sucuri 发现，在32.69%的受感染的网站中，有恶意的WordPress管理员用户。下面是一些他们经常使用的用户名和电子邮件地址的例子。

另一方面，这部分是用户能直接控制的地方之一。比如，WordPress 自带的自动生成安全密码的功能，为什么不用起来呢？

不过，你也需要对网站的其他账户采取同样的措施，比如你的托管账户和FTP凭证。除此之外，还有其他方法可以增强你的登录页面安全性，比如限制登录尝试次数和启用双重认证。

托管安全统计

托管环境和所用技术对网站的安全也很重要，特别是对于运行WordPress的PHP版本。例如，PHP 7相比之前的PHP 5引入了更好的安全特性。

此外，PHP开发者对老版本实行了严格的停止支持政策。截至本文撰写时，PHP 8.0以前的版本已经停止了支持和安全更新，所以最好不要长期使用这些旧版本。

在这里，WordPress 看起来不太好。虽然绝大多数 WordPress 网站至少运行在 PHP 7.0 上，其中近一半运行在 7.4 上，但只有略多于四分之一的网站使用积极支持的版本。

甚至有大约 6% 仍然在 PHP 5.x 版本上运行，该版本已经多年没有得到任何支持。因此，如果您还没有更新您的 PHP 版本，请更新它。

WordPress 安全统计简述

没有一个CMS是百分之百安全的，事实上，任何连接到网络上的东西都不可能完全安全。不过，尽管你可能在别处听到过不同的说法，WordPress的安全记录整体上是相当不错的。是的，存在一些问题需要被解决，但是大多数问题都在积极地得到处理。

如果你想让你的网站更安全，可以遵循以下几条建议：

• 始终更新你的WordPress、插件和主题到最新版本。
• 只使用来自可信来源的扩展功能。
• 为你网站的所有账户使用强密码。
• 考虑使用防火墙或CDN。
• 限制登录尝试次数。
• 用SSL证书来加密网站流量，包括后台管理页面。
• 选择一个能保持PHP版本更新的托管服务。

遵循这些建议，你的WordPress网站至少在安全方面能有一个积极的记录。