[สถิติความปลอดภัยของ WordPress] 4 เหตุผลหลักว่าทำไมไซต์ WordPress ถูกแฮ็กและวิธีป้องกัน
เผยแพร่แล้ว: 2021-02-22ขับเคลื่อน 34% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ตและมีส่วนแบ่งตลาด 60.8% ในตลาด CMS โดยไม่ต้องสงสัย WordPress เป็นระบบจัดการเนื้อหาที่ได้รับความนิยมมากที่สุดในโลก อย่างไรก็ตาม ความนิยมอันยิ่งใหญ่นี้ยังมาพร้อมกับต้นทุนอีกด้วย
ปีแล้วปีเล่า ความปลอดภัยของ WordPress เป็นปัญหาที่ลุกลามมาโดยตลอด สำหรับการศึกษาของ Sucuri ในบรรดาเว็บไซต์ที่ติดเชื้อ 8,000 แห่งนั้น 74% ของพวกเขาถูกสร้างขึ้นบน WordPress Wordfence ยังพบว่ามีการโจมตีไซต์ WordPress มากถึง 90,000 ทุกนาที
เหตุใด WordPress จึงมีเป้าหมายสูงโดยแฮกเกอร์?
มีเหตุผลมากมายที่ไซต์ WordPress ถูกแฮ็ก ในบทความนี้ เราจะเน้นที่ 4 เหตุผลหลักพร้อมกับสถิติการแฮ็ก WordPress จริงที่กลั่นกรองจากแหล่งต่างๆ นอกจากนี้เรายังให้คำแนะนำที่เป็นประโยชน์เกี่ยวกับวิธีการรักษาความปลอดภัย WordPress
มาดำน้ำกันเถอะ!
- เว็บโฮสติ้งที่ไม่ปลอดภัย
- รหัสผ่านที่อ่อนแอ
- เว็บไซต์ WordPress ที่ล้าสมัย
- ธีมและปลั๊กอินที่ล้าสมัยหรือเป็นโมฆะ
- วิธีตรวจสอบความปลอดภัยของ WordPress
เว็บโฮสติ้งที่ไม่ปลอดภัย
“41% ของไซต์ WordPress ถูกโจมตีเนื่องจากแพลตฟอร์มโฮสติ้งที่มีช่องโหว่”
เช่นเดียวกับเว็บไซต์อื่น ๆ WordPress โฮสต์บนเว็บโฮสต์หรือเซิร์ฟเวอร์ ดูเหมือนว่าเจ้าของไซต์ WordPress ส่วนใหญ่จะไม่พิจารณาอย่างจริงจังในการเลือกเว็บโฮสติ้ง โดยทั่วไปแล้ว พวกเขาโฮสต์เว็บไซต์ของตนในแผนโฮสติ้งที่ใช้ร่วมกันเนื่องจากมีราคาไม่แพงมาก น่าเสียดายที่สิ่งนี้กลายเป็นเหยื่อที่ร่ำรวยสำหรับผู้โจมตี
ความพยายามในการแฮ็กที่ประสบความสำเร็จบนเซิร์ฟเวอร์ที่ใช้ร่วมกันนั้นอาจนำไปสู่ช่องโหว่ของไซต์ของคุณ เนื่องจากแฮกเกอร์สามารถเข้าถึงไซต์ของคุณผ่านไซต์ที่ถูกแฮ็กได้
รหัสผ่านที่อ่อนแอ
นี่เป็นหนึ่งในสาเหตุที่พบบ่อยที่สุดของการโจมตีด้วยกำลังเดรัจฉานที่ประสบความสำเร็จ WP Smackdown พิสูจน์ว่า 8% ของไซต์ WordPress ถูกแฮ็กเนื่องจากรหัสผ่านที่ไม่รัดกุม
น่าแปลกที่ถึงตอนนี้ ผู้คนยังคงใช้รหัสผ่านที่เดาง่ายและใช้ร่วมกันได้ เช่น “123456” หรือ “รหัสผ่าน” เพื่อปกป้องไซต์ของตน NordPass ได้สรุปการใช้รหัสผ่านอันดับต้นๆ ในปี 2020 และสิ่งที่พวกเขาเปิดเผยจะทำให้คุณตะลึง
รหัสผ่าน 10 อันดับแรก | จำนวนผู้ใช้ | ได้เวลาแตกแล้ว |
123456 | 2,543,285 | น้อยกว่าหนึ่งวินาที |
123456789 | 961,435 | น้อยกว่าหนึ่งวินาที |
ภาพ1 | 371,612 | 3 ชั่วโมง |
รหัสผ่าน | 360,467 | น้อยกว่าหนึ่งวินาที |
12345678 | 322,187 | น้อยกว่าหนึ่งวินาที |
111111 | 230,507 | น้อยกว่าหนึ่งวินาที |
123123 | 189,327 | น้อยกว่าหนึ่งวินาที |
12345 | 188,268 | น้อยกว่าหนึ่งวินาที |
1234567890 | 171,724 | น้อยกว่าหนึ่งวินาที |
เซนฮา | 167,728 | 10 วินาที |
การวิจัยของพวกเขาชี้ให้เห็นว่าผู้ใช้มักจะตั้งรหัสผ่านสำหรับตัวเลขหรือตัวอักษรที่จำง่าย นอกจากนี้ พวกเขามักจะใช้รหัสผ่านเดียวกันซ้ำสำหรับหลายบัญชีเนื่องจากความสะดวก สิ่งที่สำคัญที่สุดคือรหัสผ่านที่จำง่ายกว่า ยิ่งมีความเสี่ยงสูงที่จะถูกถอดรหัส
เวอร์ชั่น WordPress ที่ล้าสมัย
เวอร์ชัน WordPress ที่ล้าสมัยเป็นหนึ่งในสาเหตุที่ใหญ่ที่สุดที่ทำให้ไซต์ถูกแฮ็ก การศึกษาโดย Sucuri แสดงให้เห็นว่า 36,7% ของเว็บไซต์ที่ถูกแฮ็กมีเวอร์ชันที่ล้าสมัย
เวอร์ชันใหม่จะเพิ่มคุณลักษณะขั้นสูงที่ดีขึ้นและแก้ไขช่องโหว่ของเวอร์ชันเก่า อย่างไรก็ตาม ผู้ใช้บางคนถึงกับปิดการใช้งานคุณสมบัติการอัพเดทตัวเอง ตาม WordPress มีเพียง 32.2% ของผู้ใช้ WordPress เท่านั้นที่อัปเดตไซต์ของตนเป็นเวอร์ชันล่าสุด -5.6
เหตุใดผู้ใช้จึงปฏิเสธที่จะปรับปรุงไซต์ของตนให้เป็นปัจจุบัน
ข้อแก้ตัวหลักคือ:
- พวกเขามักจะล่าช้าหรือลืมการแจ้งเตือนการอัปเดตเนื่องจากงานยุ่ง (หรือความเกียจคร้าน)
- พวกเขากังวลว่าการอัปเดตจะส่งผลต่อประสิทธิภาพของเว็บไซต์ของตน
แต่คุณรู้ไหม บางครั้งความไม่รู้ก็ทำให้คุณเสียเงินเป็นจำนวนมาก การแฮ็กเข้าสู่แพลตฟอร์มบล็อกของ Reuters ในปี 2555 ถือเป็นบทเรียนทั่วไป
Reuters ลืมอัปเดตการติดตั้ง WordPress ให้ทันสมัยอยู่เสมอ ทำให้แฮกเกอร์มีโอกาสโจมตีไซต์ของตน พวกเขายัดข้อความเท็จจำนวนมากบนเว็บไซต์ของรอยเตอร์ รวมถึงการให้สัมภาษณ์กับผู้นำกองทัพกบฏไซบีเรียที่ถูกกล่าวหา ในเวลานั้น Reuters ใช้เวอร์ชัน 3.1.1 แทน 3.4.1
ธีมและปลั๊กอินที่ล้าสมัยหรือเป็นโมฆะ
เจ้าของเว็บไซต์จำนวนมากประสบกับการโจมตีเนื่องจากช่องโหว่ของธีมและปลั๊กอิน แม้ว่า WordPress จะอัปเดตแกนหลักด้วยแพตช์ความปลอดภัยในทันที แต่การปรับปรุงนั้นใช้ไม่ได้กับปลั๊กอิน
ตามสถิติของ WP Scan จนถึงปี 2020 มีช่องโหว่ WordPress 21,936 รายการ ในหมู่พวกเขา 52% และ 11% ของช่องโหว่ WordPress ที่รายงานนั้นเกี่ยวข้องกับปลั๊กอินและธีมตามลำดับในขณะที่บัญชีหลักของ WordPress ที่เหลือ
ยิ่งไปกว่านั้น ในรายงาน Wordfence 2020 WordPress นั้น Wordfence เน้นย้ำว่ามัลแวร์จากปลั๊กอินและธีมที่เป็นโมฆะเป็นภัยคุกคามต่อความปลอดภัยของ WordPress ทั้ง WP Scan และ Wordfence ต่างเห็นพ้องกันว่า Cross-site Scripting และ SQL Injection เป็นประเภทช่องโหว่ที่ได้รับความนิยมมากที่สุดในปลั๊กอินและธีมของ WordPress
ดูธีมและปลั๊กอินที่มีช่องโหว่มากที่สุด 10 อันดับแรกที่แสดงรายการโดย Wpwhitesecurity (อัปเดตล่าสุดเมื่อวันที่ 8 ตุลาคม 2020) และคุณจะประหลาดใจ
ปลั๊กอิน 10 อันดับแรกที่เสี่ยงที่สุด:
ในกราฟด้านบน Nextgen Gallery, Ninja Forms และ WooCommerce ติดอันดับ 3 อันดับแรกที่มีช่องโหว่มากกว่า 20 รายการ แม้แต่ปลั๊กอินความปลอดภัยชื่อ "All In One WP Security & Firewall" ก็ยังปรากฏในรายการนี้ ซึ่งหมายความว่าแฮกเกอร์สามารถกำหนดเป้าหมายปลั๊กอินความปลอดภัยได้เช่นกัน
ธีมที่เปราะบางที่สุด 10 อันดับแรก:
กราฟที่แนบมาแสดงให้เห็นว่าธีมไม่ได้ทำให้เกิดช่องโหว่มากมายเมื่อเทียบกับปลั๊กอิน จำนวนช่องโหว่สูงสุดคือ 5 รายการและอยู่ในธีมระดับและระดับนักเดินทาง นั่นเป็นเพราะว่าธีมไม่เกี่ยวข้องกับการขยายฟังก์ชันการทำงานเหมือนกับปลั๊กอิน พวกเขารับผิดชอบรูปลักษณ์และความรู้สึกของไซต์ WordPress เป็นหลัก
วิธีตรวจสอบความปลอดภัยของ WordPress
จากสถิติและข้อเท็จจริงด้านความปลอดภัยของ WordPress ที่น่าตกใจข้างต้น เราได้สรุป 5 โซลูชันที่ใช้งานได้จริงเพื่อช่วยให้คุณมั่นใจในความปลอดภัยของ WordPress สิ่งที่คุณต้องทำตอนนี้คือ:
- ลงทุนในเว็บโฮสติ้งของคุณ
- สร้างรหัสผ่านที่ไม่ซ้ำกัน
- อัปเดตเว็บไซต์ของคุณอยู่เสมอ
- ใช้ปลั๊กอินความปลอดภัย WordPress
- หลีกเลี่ยงการใช้ธีมและปลั๊กอินที่เป็นโมฆะ
ลงทุนในเว็บโฮสติ้งของคุณ
คุณจะได้รับสิ่งที่คุณจ่าย. การเลือกใช้เว็บโฮสติ้งที่เชื่อถือได้จะช่วยลดโอกาสที่ไซต์ของคุณจะถูกแฮ็กได้อย่างมาก เว็บโฮสติ้งคุณภาพสูงไม่เพียงแต่รองรับ PHP และ MySQL เวอร์ชันล่าสุดเท่านั้น แต่ยังให้การสแกนมัลแวร์และการสำรองข้อมูลเป็นประจำอีกด้วย
ขอแนะนำเซิร์ฟเวอร์เฉพาะให้เป็นตัวเลือกการโฮสต์ที่ปลอดภัยที่สุด แน่นอนว่ามีค่าใช้จ่ายค่อนข้างสูง แต่จะมีประโยชน์มากหากไซต์ของคุณมีการเข้าชมสูงและมีข้อมูลที่ละเอียดอ่อน
อยู่ห่างจากโซลูชันโฮสติ้งที่ใช้ร่วมกัน อย่างไรก็ตาม หากคุณใช้แผนโฮสติ้งที่ใช้ร่วมกันอยู่แล้ว ให้เปลี่ยนไปใช้โฮสติ้ง VPS
สร้างรหัสผ่านที่ไม่ซ้ำ
รหัสผ่านที่ปลอดภัยไม่เพียงแต่จำเป็นสำหรับบัญชีผู้ดูแลระบบ WordPress แต่ยังรวมถึงเว็บโฮสติ้ง บัญชี FTP และฐานข้อมูล MySQL
ในการสร้างรหัสผ่านที่คาดเดายาก ก่อนอื่น คุณต้องหลีกเลี่ยงการใช้ตัวเลขหรือตัวอักษรที่อยู่ติดกัน เช่น “1234567” หรือ “abcdef” และอักขระที่ซ้ำกัน ซึ่งรวมถึง “abc123” หรือ “111111111”
นอกจากนั้น อย่าใช้รหัสผ่านเดียวกันสำหรับเว็บไซต์ต่างๆ คุณควรตั้งรหัสผ่านที่ยาว ซับซ้อน และทนทาน โดยต้องมีอักขระอย่างน้อย 8 ตัวสำหรับแต่ละบัญชี
รหัสผ่านที่เหมาะสมควรผสมระหว่างคำ ตัวเลข และสัญลักษณ์ เช่น !wdf34*de5 อย่าลืมรีเซ็ตรหัสผ่านของคุณเป็นประจำทุกๆ 90 วัน
อัปเดตเว็บไซต์ของคุณอยู่เสมอ
เพื่อหลีกเลี่ยงการเป็น Reuters คนที่สอง สิ่งที่คุณต้องทำคืออัปเดตไซต์ WordPress เป็นเวอร์ชันล่าสุด ให้ความสนใจกับการแจ้งเตือนการอัปเดตในแดชบอร์ดของคุณ
หากคุณกลัวว่าการอัปเดตจะทำให้ไซต์ของคุณเสียหาย คุณควรสร้างข้อมูลสำรองก่อนที่จะเรียกใช้การอัปเดตและทดสอบการอัปเดตบนไซต์การแสดงละครของคุณ
ใช้ปลั๊กอินความปลอดภัย WordPress
การติดตั้งปลั๊กอินความปลอดภัย WordPress เป็นโซลูชันที่ง่ายที่สุดแต่มีประสิทธิภาพมากที่สุดในการปกป้องไซต์ของคุณจากการโจมตีทุกประเภท รวมถึงมัลแวร์
การเลือกใช้ปลั๊กอินความปลอดภัยที่ช่วยให้คุณสแกนหาช่องโหว่ บังคับใช้รหัสผ่านที่รัดกุม บล็อกเครือข่ายที่เป็นอันตราย ติดตั้งไฟร์วอลล์ และอื่นๆ มีปลั๊กอินความปลอดภัย WordPress ที่เชื่อถือได้มากมายในสาขานี้ ซึ่งมีช็อตใหญ่หลายตัวเช่น Sucuri, Wordfence และ BlogVault
หลีกเลี่ยงการใช้ธีมและปลั๊กอินที่เป็นโมฆะ
ปลั๊กอินและธีมที่เป็นโมฆะเป็นเวอร์ชันพรีเมียมที่ถูกแฮ็ก ซึ่งไม่มีคุณลักษณะการตรวจสอบใบอนุญาต โดยปกติ คุณลักษณะนั้นจะถูกปิดใช้งานหรือลบออกจากปลั๊กอินและธีมเหล่านี้ ซึ่งนำไปสู่มัลแวร์ที่อาจเป็นอันตราย
เราไม่สามารถปฏิเสธได้ว่าปลั๊กอินและธีมที่เป็นโมฆะนั้นน่าดึงดูดใจ เนื่องจากใช้งานได้ฟรีและดาวน์โหลดได้ง่าย อย่างไรก็ตาม โปรดคำนึงถึงแนวคิดนี้ด้วย: หากคุณใช้สำเนาละเมิดลิขสิทธิ์เหล่านี้ จะไม่มีการแก้ไขด้านความปลอดภัย เนื่องจากจะไม่มีการอัปเดตจากนักพัฒนาซอฟต์แวร์
ดังนั้น เราขอแนะนำให้คุณดาวน์โหลดปลั๊กอินหรือธีมดั้งเดิมจากเว็บไซต์ที่เชื่อถือได้ หรือลงทุนเงินของคุณในแบบพรีเมียม คิดเกี่ยวกับสิ่งเหล่านี้ในระยะยาว คุณสามารถทำให้ไซต์ของคุณปลอดภัยและรับคุณลักษณะใหม่หรือการสนับสนุนเพิ่มเติมในการแก้ไขปัญหาด้านความปลอดภัย
บทสรุป
บทความนี้ได้อธิบายคุณถึง 4 สาเหตุหลักว่าทำไม WordPress ถูกแฮ็กด้วยตัวเลขจริง สถิติการแฮ็ก WordPress ที่มีให้นี้มีจุดมุ่งหมายเพื่อเน้นย้ำถึงความสำคัญของการกระชับความปลอดภัย WordPress ของคุณ
นอกจากนี้เรายังได้เสนอคำแนะนำที่เป็นประโยชน์เกี่ยวกับวิธีการป้องกัน WordPress จากการโจมตีที่อาจเกิดขึ้น “ความระมัดระวังดีกว่าการรักษา” คุณควรให้ความสนใจเป็นพิเศษกับการเลือกเว็บโฮสติ้ง อัปเดตคอร์ WordPress ปลั๊กอิน และธีมของคุณ ตลอดจนการสร้างรหัสผ่านที่รัดกุม
มีสถิติการแฮ็ก WordPress ใดบ้างที่คุณหวังว่าเราจะแบ่งปันในบทความนี้ แต่เราพลาดไป? คุณเคยมีประสบการณ์เกี่ยวกับการแสวงหาประโยชน์จากเว็บไซต์หรือไม่? รู้สึกอิสระที่จะแบ่งปันกับเราในส่วนความคิดเห็นด้านล่าง!