[สถิติความปลอดภัยของ WordPress] 4 เหตุผลหลักว่าทำไมไซต์ WordPress ถูกแฮ็กและวิธีป้องกัน

เผยแพร่แล้ว: 2021-02-22

ขับเคลื่อน 34% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ตและมีส่วนแบ่งตลาด 60.8% ในตลาด CMS โดยไม่ต้องสงสัย WordPress เป็นระบบจัดการเนื้อหาที่ได้รับความนิยมมากที่สุดในโลก อย่างไรก็ตาม ความนิยมอันยิ่งใหญ่นี้ยังมาพร้อมกับต้นทุนอีกด้วย

ปีแล้วปีเล่า ความปลอดภัยของ WordPress เป็นปัญหาที่ลุกลามมาโดยตลอด สำหรับการศึกษาของ Sucuri ในบรรดาเว็บไซต์ที่ติดเชื้อ 8,000 แห่งนั้น 74% ของพวกเขาถูกสร้างขึ้นบน WordPress Wordfence ยังพบว่ามีการโจมตีไซต์ WordPress มากถึง 90,000 ทุกนาที

เหตุใด WordPress จึงมีเป้าหมายสูงโดยแฮกเกอร์?

มีเหตุผลมากมายที่ไซต์ WordPress ถูกแฮ็ก ในบทความนี้ เราจะเน้นที่ 4 เหตุผลหลักพร้อมกับสถิติการแฮ็ก WordPress จริงที่กลั่นกรองจากแหล่งต่างๆ นอกจากนี้เรายังให้คำแนะนำที่เป็นประโยชน์เกี่ยวกับวิธีการรักษาความปลอดภัย WordPress

มาดำน้ำกันเถอะ!

  • เว็บโฮสติ้งที่ไม่ปลอดภัย
  • รหัสผ่านที่อ่อนแอ
  • เว็บไซต์ WordPress ที่ล้าสมัย
  • ธีมและปลั๊กอินที่ล้าสมัยหรือเป็นโมฆะ
  • วิธีตรวจสอบความปลอดภัยของ WordPress

เว็บโฮสติ้งที่ไม่ปลอดภัย

“41% ของไซต์ WordPress ถูกโจมตีเนื่องจากแพลตฟอร์มโฮสติ้งที่มีช่องโหว่”

เช่นเดียวกับเว็บไซต์อื่น ๆ WordPress โฮสต์บนเว็บโฮสต์หรือเซิร์ฟเวอร์ ดูเหมือนว่าเจ้าของไซต์ WordPress ส่วนใหญ่จะไม่พิจารณาอย่างจริงจังในการเลือกเว็บโฮสติ้ง โดยทั่วไปแล้ว พวกเขาโฮสต์เว็บไซต์ของตนในแผนโฮสติ้งที่ใช้ร่วมกันเนื่องจากมีราคาไม่แพงมาก น่าเสียดายที่สิ่งนี้กลายเป็นเหยื่อที่ร่ำรวยสำหรับผู้โจมตี

ความพยายามในการแฮ็กที่ประสบความสำเร็จบนเซิร์ฟเวอร์ที่ใช้ร่วมกันนั้นอาจนำไปสู่ช่องโหว่ของไซต์ของคุณ เนื่องจากแฮกเกอร์สามารถเข้าถึงไซต์ของคุณผ่านไซต์ที่ถูกแฮ็กได้

รหัสผ่านที่อ่อนแอ

นี่เป็นหนึ่งในสาเหตุที่พบบ่อยที่สุดของการโจมตีด้วยกำลังเดรัจฉานที่ประสบความสำเร็จ WP Smackdown พิสูจน์ว่า 8% ของไซต์ WordPress ถูกแฮ็กเนื่องจากรหัสผ่านที่ไม่รัดกุม

น่าแปลกที่ถึงตอนนี้ ผู้คนยังคงใช้รหัสผ่านที่เดาง่ายและใช้ร่วมกันได้ เช่น “123456” หรือ “รหัสผ่าน” เพื่อปกป้องไซต์ของตน NordPass ได้สรุปการใช้รหัสผ่านอันดับต้นๆ ในปี 2020 และสิ่งที่พวกเขาเปิดเผยจะทำให้คุณตะลึง

รหัสผ่าน 10 อันดับแรก จำนวนผู้ใช้ ได้เวลาแตกแล้ว
123456 2,543,285 น้อยกว่าหนึ่งวินาที
123456789 961,435 น้อยกว่าหนึ่งวินาที
ภาพ1 371,612 3 ชั่วโมง
รหัสผ่าน 360,467 น้อยกว่าหนึ่งวินาที
12345678 322,187 น้อยกว่าหนึ่งวินาที
111111 230,507 น้อยกว่าหนึ่งวินาที
123123 189,327 น้อยกว่าหนึ่งวินาที
12345 188,268 น้อยกว่าหนึ่งวินาที
1234567890 171,724 น้อยกว่าหนึ่งวินาที
เซนฮา 167,728 10 วินาที

การวิจัยของพวกเขาชี้ให้เห็นว่าผู้ใช้มักจะตั้งรหัสผ่านสำหรับตัวเลขหรือตัวอักษรที่จำง่าย นอกจากนี้ พวกเขามักจะใช้รหัสผ่านเดียวกันซ้ำสำหรับหลายบัญชีเนื่องจากความสะดวก สิ่งที่สำคัญที่สุดคือรหัสผ่านที่จำง่ายกว่า ยิ่งมีความเสี่ยงสูงที่จะถูกถอดรหัส

เวอร์ชั่น WordPress ที่ล้าสมัย

เวอร์ชัน WordPress ที่ล้าสมัยเป็นหนึ่งในสาเหตุที่ใหญ่ที่สุดที่ทำให้ไซต์ถูกแฮ็ก การศึกษาโดย Sucuri แสดงให้เห็นว่า 36,7% ของเว็บไซต์ที่ถูกแฮ็กมีเวอร์ชันที่ล้าสมัย

เวอร์ชันใหม่จะเพิ่มคุณลักษณะขั้นสูงที่ดีขึ้นและแก้ไขช่องโหว่ของเวอร์ชันเก่า อย่างไรก็ตาม ผู้ใช้บางคนถึงกับปิดการใช้งานคุณสมบัติการอัพเดทตัวเอง ตาม WordPress มีเพียง 32.2% ของผู้ใช้ WordPress เท่านั้นที่อัปเดตไซต์ของตนเป็นเวอร์ชันล่าสุด -5.6

เหตุใดผู้ใช้จึงปฏิเสธที่จะปรับปรุงไซต์ของตนให้เป็นปัจจุบัน

ข้อแก้ตัวหลักคือ:

  • พวกเขามักจะล่าช้าหรือลืมการแจ้งเตือนการอัปเดตเนื่องจากงานยุ่ง (หรือความเกียจคร้าน)
  • พวกเขากังวลว่าการอัปเดตจะส่งผลต่อประสิทธิภาพของเว็บไซต์ของตน

แต่คุณรู้ไหม บางครั้งความไม่รู้ก็ทำให้คุณเสียเงินเป็นจำนวนมาก การแฮ็กเข้าสู่แพลตฟอร์มบล็อกของ Reuters ในปี 2555 ถือเป็นบทเรียนทั่วไป

Reuters ลืมอัปเดตการติดตั้ง WordPress ให้ทันสมัยอยู่เสมอ ทำให้แฮกเกอร์มีโอกาสโจมตีไซต์ของตน พวกเขายัดข้อความเท็จจำนวนมากบนเว็บไซต์ของรอยเตอร์ รวมถึงการให้สัมภาษณ์กับผู้นำกองทัพกบฏไซบีเรียที่ถูกกล่าวหา ในเวลานั้น Reuters ใช้เวอร์ชัน 3.1.1 แทน 3.4.1

ธีมและปลั๊กอินที่ล้าสมัยหรือเป็นโมฆะ

เจ้าของเว็บไซต์จำนวนมากประสบกับการโจมตีเนื่องจากช่องโหว่ของธีมและปลั๊กอิน แม้ว่า WordPress จะอัปเดตแกนหลักด้วยแพตช์ความปลอดภัยในทันที แต่การปรับปรุงนั้นใช้ไม่ได้กับปลั๊กอิน

ตามสถิติของ WP Scan จนถึงปี 2020 มีช่องโหว่ WordPress 21,936 รายการ ในหมู่พวกเขา 52% และ 11% ของช่องโหว่ WordPress ที่รายงานนั้นเกี่ยวข้องกับปลั๊กอินและธีมตามลำดับในขณะที่บัญชีหลักของ WordPress ที่เหลือ

WordPress vulnerability-by-component แผนภูมิวงกลม

ยิ่งไปกว่านั้น ในรายงาน Wordfence 2020 WordPress นั้น Wordfence เน้นย้ำว่ามัลแวร์จากปลั๊กอินและธีมที่เป็นโมฆะเป็นภัยคุกคามต่อความปลอดภัยของ WordPress ทั้ง WP Scan และ Wordfence ต่างเห็นพ้องกันว่า Cross-site Scripting และ SQL Injection เป็นประเภทช่องโหว่ที่ได้รับความนิยมมากที่สุดในปลั๊กอินและธีมของ WordPress

ดูธีมและปลั๊กอินที่มีช่องโหว่มากที่สุด 10 อันดับแรกที่แสดงรายการโดย Wpwhitesecurity (อัปเดตล่าสุดเมื่อวันที่ 8 ตุลาคม 2020) และคุณจะประหลาดใจ

ปลั๊กอิน 10 อันดับแรกที่เสี่ยงที่สุด:
แผนภูมิปลั๊กอินที่เปราะบางที่สุด 10 อันดับแรก

ในกราฟด้านบน Nextgen Gallery, Ninja Forms และ WooCommerce ติดอันดับ 3 อันดับแรกที่มีช่องโหว่มากกว่า 20 รายการ แม้แต่ปลั๊กอินความปลอดภัยชื่อ "All In One WP Security & Firewall" ก็ยังปรากฏในรายการนี้ ซึ่งหมายความว่าแฮกเกอร์สามารถกำหนดเป้าหมายปลั๊กอินความปลอดภัยได้เช่นกัน

ธีมที่เปราะบางที่สุด 10 อันดับแรก:
กราฟธีมที่เปราะบางที่สุด 10 อันดับแรก

กราฟที่แนบมาแสดงให้เห็นว่าธีมไม่ได้ทำให้เกิดช่องโหว่มากมายเมื่อเทียบกับปลั๊กอิน จำนวนช่องโหว่สูงสุดคือ 5 รายการและอยู่ในธีมระดับและระดับนักเดินทาง นั่นเป็นเพราะว่าธีมไม่เกี่ยวข้องกับการขยายฟังก์ชันการทำงานเหมือนกับปลั๊กอิน พวกเขารับผิดชอบรูปลักษณ์และความรู้สึกของไซต์ WordPress เป็นหลัก

วิธีตรวจสอบความปลอดภัยของ WordPress

จากสถิติและข้อเท็จจริงด้านความปลอดภัยของ WordPress ที่น่าตกใจข้างต้น เราได้สรุป 5 โซลูชันที่ใช้งานได้จริงเพื่อช่วยให้คุณมั่นใจในความปลอดภัยของ WordPress สิ่งที่คุณต้องทำตอนนี้คือ:

  • ลงทุนในเว็บโฮสติ้งของคุณ
  • สร้างรหัสผ่านที่ไม่ซ้ำกัน
  • อัปเดตเว็บไซต์ของคุณอยู่เสมอ
  • ใช้ปลั๊กอินความปลอดภัย WordPress
  • หลีกเลี่ยงการใช้ธีมและปลั๊กอินที่เป็นโมฆะ

ลงทุนในเว็บโฮสติ้งของคุณ

คุณจะได้รับสิ่งที่คุณจ่าย. การเลือกใช้เว็บโฮสติ้งที่เชื่อถือได้จะช่วยลดโอกาสที่ไซต์ของคุณจะถูกแฮ็กได้อย่างมาก เว็บโฮสติ้งคุณภาพสูงไม่เพียงแต่รองรับ PHP และ MySQL เวอร์ชันล่าสุดเท่านั้น แต่ยังให้การสแกนมัลแวร์และการสำรองข้อมูลเป็นประจำอีกด้วย

ขอแนะนำเซิร์ฟเวอร์เฉพาะให้เป็นตัวเลือกการโฮสต์ที่ปลอดภัยที่สุด แน่นอนว่ามีค่าใช้จ่ายค่อนข้างสูง แต่จะมีประโยชน์มากหากไซต์ของคุณมีการเข้าชมสูงและมีข้อมูลที่ละเอียดอ่อน

อยู่ห่างจากโซลูชันโฮสติ้งที่ใช้ร่วมกัน อย่างไรก็ตาม หากคุณใช้แผนโฮสติ้งที่ใช้ร่วมกันอยู่แล้ว ให้เปลี่ยนไปใช้โฮสติ้ง VPS

สร้างรหัสผ่านที่ไม่ซ้ำ

รหัสผ่านที่ปลอดภัยไม่เพียงแต่จำเป็นสำหรับบัญชีผู้ดูแลระบบ WordPress แต่ยังรวมถึงเว็บโฮสติ้ง บัญชี FTP และฐานข้อมูล MySQL

ในการสร้างรหัสผ่านที่คาดเดายาก ก่อนอื่น คุณต้องหลีกเลี่ยงการใช้ตัวเลขหรือตัวอักษรที่อยู่ติดกัน เช่น “1234567” หรือ “abcdef” และอักขระที่ซ้ำกัน ซึ่งรวมถึง “abc123” หรือ “111111111”

นอกจากนั้น อย่าใช้รหัสผ่านเดียวกันสำหรับเว็บไซต์ต่างๆ คุณควรตั้งรหัสผ่านที่ยาว ซับซ้อน และทนทาน โดยต้องมีอักขระอย่างน้อย 8 ตัวสำหรับแต่ละบัญชี

รหัสผ่านที่เหมาะสมควรผสมระหว่างคำ ตัวเลข และสัญลักษณ์ เช่น !wdf34*de5 อย่าลืมรีเซ็ตรหัสผ่านของคุณเป็นประจำทุกๆ 90 วัน

อัปเดตเว็บไซต์ของคุณอยู่เสมอ

เพื่อหลีกเลี่ยงการเป็น Reuters คนที่สอง สิ่งที่คุณต้องทำคืออัปเดตไซต์ WordPress เป็นเวอร์ชันล่าสุด ให้ความสนใจกับการแจ้งเตือนการอัปเดตในแดชบอร์ดของคุณ

หากคุณกลัวว่าการอัปเดตจะทำให้ไซต์ของคุณเสียหาย คุณควรสร้างข้อมูลสำรองก่อนที่จะเรียกใช้การอัปเดตและทดสอบการอัปเดตบนไซต์การแสดงละครของคุณ

ใช้ปลั๊กอินความปลอดภัย WordPress

การติดตั้งปลั๊กอินความปลอดภัย WordPress เป็นโซลูชันที่ง่ายที่สุดแต่มีประสิทธิภาพมากที่สุดในการปกป้องไซต์ของคุณจากการโจมตีทุกประเภท รวมถึงมัลแวร์

การเลือกใช้ปลั๊กอินความปลอดภัยที่ช่วยให้คุณสแกนหาช่องโหว่ บังคับใช้รหัสผ่านที่รัดกุม บล็อกเครือข่ายที่เป็นอันตราย ติดตั้งไฟร์วอลล์ และอื่นๆ มีปลั๊กอินความปลอดภัย WordPress ที่เชื่อถือได้มากมายในสาขานี้ ซึ่งมีช็อตใหญ่หลายตัวเช่น Sucuri, Wordfence และ BlogVault

หลีกเลี่ยงการใช้ธีมและปลั๊กอินที่เป็นโมฆะ

ปลั๊กอินและธีมที่เป็นโมฆะเป็นเวอร์ชันพรีเมียมที่ถูกแฮ็ก ซึ่งไม่มีคุณลักษณะการตรวจสอบใบอนุญาต โดยปกติ คุณลักษณะนั้นจะถูกปิดใช้งานหรือลบออกจากปลั๊กอินและธีมเหล่านี้ ซึ่งนำไปสู่มัลแวร์ที่อาจเป็นอันตราย

เราไม่สามารถปฏิเสธได้ว่าปลั๊กอินและธีมที่เป็นโมฆะนั้นน่าดึงดูดใจ เนื่องจากใช้งานได้ฟรีและดาวน์โหลดได้ง่าย อย่างไรก็ตาม โปรดคำนึงถึงแนวคิดนี้ด้วย: หากคุณใช้สำเนาละเมิดลิขสิทธิ์เหล่านี้ จะไม่มีการแก้ไขด้านความปลอดภัย เนื่องจากจะไม่มีการอัปเดตจากนักพัฒนาซอฟต์แวร์

ดังนั้น เราขอแนะนำให้คุณดาวน์โหลดปลั๊กอินหรือธีมดั้งเดิมจากเว็บไซต์ที่เชื่อถือได้ หรือลงทุนเงินของคุณในแบบพรีเมียม คิดเกี่ยวกับสิ่งเหล่านี้ในระยะยาว คุณสามารถทำให้ไซต์ของคุณปลอดภัยและรับคุณลักษณะใหม่หรือการสนับสนุนเพิ่มเติมในการแก้ไขปัญหาด้านความปลอดภัย

บทสรุป

บทความนี้ได้อธิบายคุณถึง 4 สาเหตุหลักว่าทำไม WordPress ถูกแฮ็กด้วยตัวเลขจริง สถิติการแฮ็ก WordPress ที่มีให้นี้มีจุดมุ่งหมายเพื่อเน้นย้ำถึงความสำคัญของการกระชับความปลอดภัย WordPress ของคุณ

นอกจากนี้เรายังได้เสนอคำแนะนำที่เป็นประโยชน์เกี่ยวกับวิธีการป้องกัน WordPress จากการโจมตีที่อาจเกิดขึ้น “ความระมัดระวังดีกว่าการรักษา” คุณควรให้ความสนใจเป็นพิเศษกับการเลือกเว็บโฮสติ้ง อัปเดตคอร์ WordPress ปลั๊กอิน และธีมของคุณ ตลอดจนการสร้างรหัสผ่านที่รัดกุม

มีสถิติการแฮ็ก WordPress ใดบ้างที่คุณหวังว่าเราจะแบ่งปันในบทความนี้ แต่เราพลาดไป? คุณเคยมีประสบการณ์เกี่ยวกับการแสวงหาประโยชน์จากเว็บไซต์หรือไม่? รู้สึกอิสระที่จะแบ่งปันกับเราในส่วนความคิดเห็นด้านล่าง!