在调查了数字营销公司Quantcast所列举的全球前10000大网站之后,我们发现大量的网站都需要进行关键的更新。
在WordPress近来发布了4.9.5版本之后,我们决定进行一点研究,看WordPress网站的更新速度有多快——以及背后所拥有的多个更新的数量。经过调查,我们发现情况是令人不安的。在Quantcast所列举的全球前10000大WordPress网站中,49%的网站并没有运行最新的、更为安全的WordPress版本。而且有多个更新的网站比例高达33%。
“WordPress是全球第一大网站搭建平台,”拥有超过15年相关经验的web工程师和安全专家Adam Cohen表示,“因成千上万的网站都运行在WordPress上,它也是黑客攻击的最多的平台。因为如果他们发现了任何漏洞,就可以把它们复制到成千上万的网站上。”
这就使得那些没有更新到最新版本的网站面临着巨大问题。在拥有已知漏洞的情况下,这些网站快速而松散地运行着。这就是你遭受攻击的方式。
重要发现
为了执行调查,我们创建了一个工具来抓取在Quantcast所列举的全球前10000大网站中的各个网站的主页。该抓取是在WordPress 4.9.5发布之后的两天后执行的。在正式发布后的48个小时内,所有配置为自动进行更新的网站都应当已经完成了更新。
在Quantcast的全球前10000大网站中,17%的网站主页运行在了WordPress上。而可能为其博客或在网站的其他部分使用了WordPress的网站数量明显更高,但由于进行这样的扫描是非常复杂的,而且十分耗时,我们选择只分析在主页上的数据。
以下是我们的主要发现:
在Quantcast的全球前10000大网站中,17%的网站主要运行在WordPress上;
在这些WordPress网站中,50.93%运行的是最新的、更为安全的版本;
49.07%的WordPress网站并没有运行最新的版本;
33.58%的WordPress网站背后至少有两个更新。
不对WordPress进行更新容易导致自身遭受攻击
让我们来谈谈为什么更新如此重要。而在我们进行深入讨论之前,我们需要知道这是一个全球性的问题。企业需要不断地权衡打补丁、更新和巩固系统方面的需要,因为在此过程中会付出价格和业务宕机/中断两方面的代价。这种情况不仅仅局限于WordPress网站。
“许多人都会放弃更新WordPress,因为他们担心会影响网站的稳定性,”Comparitech.com安全专家和隐私倡导者Paul Bischof说到,“例如,WordPress插件可能会停止工作。如果你对主题进行了一些更改,但并没有将这些更改应用于子主题,那么这些更改就可能在下一次更新中被擦除掉。如果你在运行某种类型的在线业务,相比恶意软件或攻击,潜在的宕机事件可能付出的代价更大。”
高级web工程师和WordPress专家Ken Dawes很快对网站所有者进行了警告,提出WordPress需要进行不断的关注。
“WordPress安全中的最大的问题是,让人们意识到拥有一个WP网站就像拥有一只小狗,”Dawes表示,“如果你没有照顾好它——给它喂食、梳理毛发、接种疫苗等等——你就会遇到麻烦。
照顾好它意味着定期更新到最新版本,同时也要保持插件为最新版本。
WordPress进行这些更新是有原因的
如同其他软件,WordPress会定期发布更新。尽管这些更新也会提供新的功能,但安全方面的改进才是最重要的。而且网络犯罪分子们会关注修复的具体内容。
“人们并没有意识到这样一个事实,即黑客通常并不是自己发现的软件漏洞的,”Bischoff表示,“当诸如WordPress等的软件发行商推出了包括安全更新的补丁时,这就会提醒黑客,在那些没有执行所谓的更新的WordPress安装版本上将会存在安全漏洞。如果你没有进行更新,你就会成为攻击目标。你等待的时间越长,你就更有可能受到攻击。”
在Quantcast的全球前10000大网站中,近一半的网站都没有更新到最新版本,这是令人吃惊的。超过三分之一(33.58%)的网站都使用了多个WordPress版本,这是十分危险的。
“一旦你的网站受到了攻击,你是很难对它进行修复的。本质上,进入你的网站的黑客将会创建新的隐藏入口点;除非你将它们完全地关闭掉,他们是很容易找到回去的路的。对企业来说结果是十分可怕的。”BlueBerryCloud加拿大WordPress设计室主管Mazdak Mohammadi表示。
“好消息是,通过WordPress管理面板,WordPress是很容易进行更新的,同时还包括它的插件。你的web开发人员应该可以为你执行这一任务,否则你可以申请进行访问,自行处理。这不是火箭科学,如果更新失败,WordPress会及时自动将你的网站恢复到更新之前的时间点。”
WordPress黑客攻击可能发生在任何人身上
中小企业也不能幸免于黑客攻击。这是一种常见的看法,但并没有得到统计数据的支持。事实上,由赛门铁克所发布的《2017年威胁报告》指出,去年有74%的中小企业遭受了攻击。此外,《国家网络安全联盟报告》称,在数据泄露事件发生后的6个月时间里,有60%的中小企业关门歇业。
有趣的是,你会发现网站所有者会说,“我已经很多年没有进行更新了,而且我并没有遭受攻击!因此,有什么大不了的?”Dawes说,“或者我只是个不知名的小人物,他们不会攻击我的网站。”但事实上,这是一场数字游戏。每天,黑客机器人都会对所有网站进行随机攻击。这些机器人会浏览IP地址列表,然后使用已知的、可进行利用的漏洞来实施攻击。一个公司所需要的就是,让他们的网站在错误的时间易受到正确的机器人的攻击。
“当黑客在WordPress版本中发现了漏洞的时候,他们就会创建一个针对该漏洞的攻击,然后撒出一张大网(通常是自动的),想看看谁还没有进行更新,”Vestige Digital Investigations EnCE和DFCP Greg Kelley说到,“要意识到一张“大网”的重要性,他们不会关心你是谁或你是做什么的,只要你有一个网站。一旦网站被攻破,黑客就会从网站中看到其可以获取的信息,比如账户信息,然后可能试图利用这些信息来攻击你可能拥有的其他系统。至少,黑客会破坏你的网站,或者用它来存储对他们来说十分重要的数据(窃取的数据,非法图片等等)。结果是,当公众发现你的网站遭受到了攻击时,你的公众形象就会受到不良影响。”
或者,你也可以像那些60%的中小型企业一样,遭受攻击然后最后倒闭。
为了保持WordPress网站的安全,你需要做什么?
显然,你可以从本文获得的最大的建议是,你需要随时更新你的WordPress,无论是对于CMS本身,还是你利用它来运行的插件。
IT Tropolis联合创始人兼总裁鲍Bob Herman说:“当系统发现了插件和主题漏洞时,且补丁已发布,你的面板就会显示一条信息:更新是可用的。而且,要始终使用子主题,这样你就可以在不影响网站的情况下对安装中的所有主题进行更新。Wordfence是一个很好的插件,它可以通知你在安装过程中存在的重要问题。而且,如果你因插件可能与最新的版本不兼容而不想更新WordPress,那么它可能就不是一个值得使用的插件。大多数得到广泛采用的插件都是与WordPress同步更新的,这样漏洞就可以尽可能快地得到修补。”
这个可以通过专业的管理式WordPress主机来实现,比如必盛互联提供的主机就带有WordPress工具包,能够很好的支持WordPress自动升级。
Cohen还有一些其他的建议:
“确保定期更新你的密码,并确保你的主机公司每年都会对Linux/Unix、Php和MySQL库(并根据需要安装补丁)进行更新。在旧的插件或主题没有进行使用或已过时时,删除它们。安装诸如Sucuri或Wordfence等的服务来监视文件和访问站点。”
但最重要的是,如果你只从本文中得到了一点,不要陷入这样的陷阱:你不需要随时进行更新。
Dawes说:“不让一切都保持最新,这是一个错误的经济学。如果一家公司不想进行更新,因为他们担心自己的网站会崩溃,那么他们需要认识到,其网站遭受攻击的可能性会增加,并愿意接受网站遭受攻击后的各种风险。”而且,如果该公司的网站包含了关于网站访客的个人信息——姓名、电子邮件地址、信用卡信息等——他们最好也愿意承担相应的法律责任!”
