WordPress v SK - průzkum

✍️ Vláďa Smitka
📅 02. 05. 2018

28.4. jsem měl tu čest přednášet na oficiální WordPress konferenci WordCamp Bratislava 2018. Pro posluchače jsem si připravil přednášku o nejčastějších problémech WordPress webů a doplnil jsem ji unikátními daty ze slovenského WordPress prostředí.

Najčastejšie problémy WordPress webov from Vladimír Smitka
 

Jako hlavní zdroj dat jsem použil seznam slovenských domén, který poskytuje přímo nic.sk (370 000 domén) - zde tyto domény jsem proskenoval, abych zjistil kam jsou ve výsledku nasměrované a mohl vyloučit nefunkční domény a více domén, které jsou nasměrovány na stejný web (například různé verze s/bez pomlčky atd.) . Tento deduplikovaný seznam o svůj vlastní seznam slovenských WordPress webů na doménách mimo slovenskou doménu (.eu, .com, .info, ... + některé .cz). Doplňující seznam vznikl jako vedlejší produkt při průzkumu českých WordPress webů - web byl považován za slovenský pokud měl v HTML tagu nastaven atribut lang="sk-SK". Takto jsem přidal 13 000 dalších WP webů. Ve výsledku jsem získal 290 000 slovenských webů, ze kterých téměř 60 000 běželo na redakčním systému WordPress. 20 % slovenských webů tedy používá WordPress.

Dále mě zajímalo, jaké se na slovensku se vlastně pro WP používají hostingy. Ukázalo se, že naprosto dominuje WebSupport.sk, u kterého běží 43 % slovenských WP webů. V dalším kroku jsem zkoušel zda se weby podaří načíst na zabezpečeném protokolu HTTPS, bohužel pouze 28 % z nich má tento protokol nastaven.

Jako klíčovou část této analýzy považuji detekci verze WP. Některé weby se tomu aktivně brání, základními metodami se mi nepodařilo přesnou verzi určit u 3,5 % webů. U velké části z nich jsem však různé signály ukazovaly na verze 4.8/4.9. Přesnou verzi by bylo možné získat pokročilejšími testy, ale pro účely výzkumu jsem to nepovažoval za příliš podstatné. Jsem názoru, že verzi WP je zbytečné skrývat. Průzkum verzí ukázal, že většina webů běží na nejnovější verzi 4.9.5. 22 % webů však není plně aktualizovaných. Z části za to může chyba automatického update, která byla ve verzi 4.9.3 - touto chybou je postiženo 7 % všech slovenských WordPress webů - u nich je třeba provést update ručně - evidentně se však jejich správci o své weby dostatečně nestarají a nesledují dění kolem tohoto redakčního systému. Updaty vycházejí pro verze 3.7 a vyšší, webů s již nepodporovanou verzí jsou 4 %, nalezneme zde dokonce více než 150 webů s WP verze 2.x.

Provedl jsem i několik dalších zajímavých testů a zjistil jsem, že velmi mnoho webů zobrazuje chybové hlášky (zranitelnost typu FPD - Full Path Disclosure) - 58%, u 5% webů je povolen výpis adresářů a u 117 webů je povolen přístup k adresáři .git a je tak možno stáhnout kompletní zdrojové kódy, často včetně hesla do databáze.

Zkusil jsem také jednoduché vyčítání uživatelských jmen přes adresu /?author=X - to fungovalo u 60% webů. Z tohoto testu jsem zjistil, že 27 % slovenských administrátorů používá login "admin". To mě nalákalo vyzkoušet, zda náhodou někteří nepoužívají velmi jednoduchá hesla jako je admin/password/heslo/123456 - vyzkoušením 6 nejhloupějších kombinací se ukázalo 57 webů. Část z nich už byla přesměrována útočníky na různé erotické seznamky a stránky s malware.

Z drobnějších problémů lze zmínit například fakt, že 60 % tvůrců webů ponechalo (nebo přepsalo) na webu výchozí příspěvek "Ahoj světe" - lze ho najít na adrese /?p=1 a na 16 % webů jsou na něm povoleny komentáře - jsem přesvědčen, že zdaleka ne všichni o tomto příspěvku na svém webu ví a chtějí na něm mít otevřené komentáře. 1,2 % tvůrců na webu také ponechalo výchozí titulek "Len ďalšia WordPress stránka", což většinou bývá jedna z prvních věcí co se po instalaci v administraci nastavuje.

Zajímaly mne i používané pluginy a šablony. Z šablon jsou velmi oblíbené prémiové Divi a Avada, velké zastoupení mají však v součtu i defaultní Twenty šablony. Z pluginů je favoritem kontaktní formulář Contact Form 7. Velmi rozšířený je také Slider Revolution (osobně ho nemám příliš rád, protože web velmi zpomaluje a v minulosti obsahoval velmi kritické bezpečnostní problémy). Slider Revolution je součástí mnoha prémiových šablon a na jejich využívání ukazuje další rozšířený plugin - builder Visual Composer. WordPress hraje poměrně velkou roli i v e-commerce - 6 500 webů používá e-shopový plugin WooCommerce.

Přehledný souhrn výsledků průzkumu a statistiky využití šablon a pluginů jsem vizualizoval v následující infografice:

Infografika - Slovenské weby a WordPress

Infografika ke stažení

Použijte naší infografiku na vašem webu:

Štítky: , ,

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


Lynt services s.r.o

Již 11 let vytváříme efektivnější kampaně, zrychlujeme weby a řešíme jejich bezpečnost. Kombinujeme marketing, vývoj a automatizaci.
poptávka služeb