Анализ безопасности, производительности и аналитика WordPress топ-1 миллиона сайтов

В этом обширном отчете мы расскажем об использовании WordPress, анализе безопасности и факторах производительности на самых популярных веб-сайтах планеты.

Знаете ли вы, что в обращении находится более 1,5 миллиарда имен хостов и около 180 миллионов активных веб-сайтов?

Если вам нравятся такие статистические данные, ознакомьтесь с ежемесячным отчетом об обзоре веб-серверов от Netcraft.

Опрос посвящен мониторингу Интернета всех активных сайтов и доменных имен.

С таким количеством сайтов, активных в любой момент времени, вы точно знаете, что есть много победителей и много проигравших.

Такие сайты, как «The Internet Map», дают полную картину того, насколько доминируют определенные сайты по сравнению с сайтами, которые находятся в топ-10 миллионов и выше.

Если бы вы начали новый веб-сайт сегодня, сколько бы вам понадобилось времени, чтобы попасть в топ-1 миллион сайтов?

А как насчет 10000 или 1000 лучших?

Это может занять несколько лет, прежде чем вы даже приблизитесь.

Но это не обязательно должен быть долгий и трудный путь.

Если вы можете определить основные тенденции на самых популярных веб-сайтах в мире, вы можете оптимизировать свой сайт таким образом, чтобы ваш рост был устойчивым.

Это предпосылка нашего анализа.

Мы просматриваем 1 миллион лучших веб-сайтов, перечисленных в каталоге Alexa, и пытаемся понять, какие технологии наиболее популярны среди всех.

Готовы узнать все об этом? Давайте доберемся до этого!

Насколько популярен WordPress?

Мы знаем, что WordPress занимает 60% рынка в качестве системы управления контентом, но насколько WordPress популярен среди топ-сайтов 1M?

Чтобы выяснить, это критерии, которые мы использовали во время нашего сканирования:

• Проверка наличие wp-содержимого, wp-json и wp-include в исходном коде каждого веб-сайта.
• Проверка наличие wp-json в заголовке ответа.
• Проверка тег метагенератора в источнике страницы.

И вот результаты:

Наш анализ показывает, что WordPress используют 26,5% веб-сайтов в топ-1М списка.

Погрешность составляет примерно 2%, так как некоторые сайты скрывают информацию от общественности.

WordPress снова и снова доказывает, что это платформа, способная поддерживать сайты любого размера и популярности.

Такие крупные компании, как TechCrunch, Marks & Spencer и Quartz, используют WordPress для предоставления контента миллионам посетителей в месяц.

Вы используете WordPress на своем сайте?

Начать легко, и вы можете мгновенно воспользоваться преимуществами доступа к тысячам тем и плагинов.

Если вам нужна помощь в настройке безопасности вашего сайта WordPress, ознакомьтесь с нашими учебными пособиями и разделом статей, где мы делимся полезными советами!

И, говоря об этом, давайте взглянем на самые популярные темы и плагины WordPress в списке лучших сайтов 1M.

Самые популярные плагины

WordPress сильно зависит от своей экосистемы плагинов для обеспечения действительно динамичного взаимодействия с веб-сайтом.

Если разработчику нужно написать собственный код для добавления функции на свой сайт, то пользователь WordPress может использовать плагин для того же.

Одна из вещей, которые мы узнали довольно быстро, заключается в том, что получить точный список самых популярных плагинов довольно сложно.

Причина в том, что многие пользователи WordPress обфусцируют (минимизируют) свои файлы CSS и JavaScript и, в свою очередь, блокируют доступ к определенным путям плагинов.

Тем не менее, вот последняя диаграмма самых популярных плагинов для всех сайтов на WordPress в списке top 1М:

Результаты не являются неожиданными. Contact Form7 – это самый рекомендуемый плагин для контактов, включенный почти в каждый список плагинов WordPress.

Jetpack отлично подходит для добавления многочисленных социальных функций в блоги WordPress, а Visual Composer помогает вам легко создавать собственные веб-сайты.

У нас также есть Cookie Notice  в этом топ-10, которое напрямую связано с GDPR;

новое законодательство ЕС о защите данных, которое вступило в силу в начале 2018 года.

Кроме того, OneSignal вошел в топ-10.

OneSignal – это исключительный плагин WordPress для добавления push-уведомлений на ваш сайт.

Хорошо, теперь, когда мы посмотрели на плагины, давайте посмотрим на темы!

Самые популярные темы

У нас есть похожая проблема в том смысле, что пути к темам также запутываются всякий раз, когда файлы WordPress минимизируются.

Но данные, которые мы имеем, точны и очень соответствуют нашим ожиданиям.

Похоже, Divi лидирует как самая популярная тема WordPress в списке лучших сайтов 1M.

И это звучит правильно, учитывая, сколько денег ElegantThemes потратил на продвижение темы.

Далее у нас есть Newspaper and Avada.

Поскольку Avada имеет более 490 000 продаж на ThemeForest – у нас нет никаких сомнений, что мы увидим ее в списке 10 лучших тем.

Прошло около двух лет с тех пор, как большинство тем WordPress выпускаются с несколькими демонстрационными дизайнами для каждой темы. В результате одна тема может собирать сотни тысяч пользователей просто потому, что она предоставляет так много разных решений.

Что удивительно, так это то, что мы не видим в этом списке такие темы, как Thrive или Genesis.

Обе имели огромный рост за эти годы, но, возможно, не так стабильно, как многие думали.

WordPress 4.x медленно теряет свою хватку

Что касается последней метрики WordPress, мы рассмотрим различные версии, которые все еще находятся в процессе ротации.

Еще в декабре 2018 года WordPress наконец-то выпустил свою «долгожданную» версию 5.0, которая поставлялась в комплекте с новым редактором Gutenberg.

Сообщество неохотно принимает Гутенберга из-за его жесткого характера и трудностей для писателей.

И хотя Мэтт Малленвег заверил, что со временем Гутенберг улучшится, многие решили не переключаться.

Согласно WordPress: классический редактор будет поддерживаться до 2021 года.

Вот данные:

Через два месяца после его выпуска и 60 000 сайтов в топ-листе 1M обновили свои сайты до последней версии.

WordPress 4.x, однако, сохраняет доминирующее положение, и это, скорее всего, связано с тем, что агентства и внешние разработчики создают много сайтов.

В результате обновление сайта с одной версии на другую может вызвать некоторые серьезные проблемы.

Теперь, когда мы немного узнали о WordPress, давайте посмотрим на другие интересные факты, которые мы узнали.

Какой самый популярный веб-сервер?

Мы провели тщательный анализ заголовков серверов, чтобы проанализировать наиболее популярные веб-серверы и прокси-серверы среди лучших веб-сайтов 1M.

Как скрыть версию Apache, информацию о сервере, заголовок, версия Php

Топ 5 лазеек безопасности в вебсайтах WordPress

И результаты не удивляют нас ни на минуту.

Апач выглядит здесь явным победителем, не так ли?

Что ж, в то время как Apache определенно популярен, вы должны иметь в виду, что Cloudflare, OpenResty, SUCURI используют Nginx.

В результате Nginx удается немного выйти на первое место.

Вот общие данные о доле рынка для самых популярных веб-серверов:

ще несколько лет назад этот отчет был бы перевернут – в пользу Apache.

Но благодаря быстрой эволюции Nginx и преимуществам производительности, которые вы можете получить, мы знаем, что Nginx будет продолжать доминировать.

Кроме того, если вы посмотрите на последний отчет Netcraft, вы увидите, что Microsoft и Apache находятся на вершине списка доли рынка.

Но помните, что наш анализ основан на топ-1 миллион сайтов. Поскольку Nginx считается самым быстрым веб-сервером, нас не удивляет, что лучшие веб-сайты в мире выбирают его в качестве своего решения для доступа.

PHP занимает доминирующее положение

Мы проанализировали весь список сайтов на предмет заголовков «X-Powered-By», и результаты показывают, что PHP доминирует на этом пути.

Можно сказать, что WordPress вносит значительный вклад в это доминирование, но также известен тот факт, что PHP существует дольше, чем большинство современных технологий.

«X-Powered-By» – это обычный нестандартный заголовок ответа HTTP (большинство заголовков с префиксом «X-» не являются стандартными). Он часто включается по умолчанию в ответы, построенные с помощью определенной технологии сценариев. Важно отметить, что он может быть отключен и / или изменен сервером.

Windows появляется дважды с ASP.NET и PleskLin, но у нас также есть Express и Passenger: две чрезвычайно надежные платформы веб-приложений Node.js.

И у нас также есть EasyEngine в списке.

EasyEngine – это менее известный скрипт на Nginx для запуска и поддержки веб-сайтов WordPress.

Он поставляется в комплекте с Redis (для кеширования), Let’s Encrypt (для SSL), Docker и другими первоклассными программными решениями для создания высокопроизводительных веб-сайтов WordPress.

Какая версия PHP находится в топе?

PHP 7 был выпущен в декабре 2015 года, но он даже отдаленно не настолько популярен, как PHP 5.x – удивительно, если не сказать больше!

Проанализировав 1 миллион лучших сайтов, мы обнаружили, что 207 399 сайтов публично заявляют, что работают на PHP.

146 227 сайтов в топ-1М все еще работают с PHP 5.x! Dang …

Несмотря на то, что PHP 5 все еще доминирует, приятно видеть, что разработчикам становится удобнее переходить на PHP 7.

Дело в том, что PHP 7 имеет лучшую производительность по сравнению с PHP 5.

И учитывая, что поддержка PHP 5.6 (последняя версия 5.X) была прекращена в конце 2018 года, сейчас самое подходящее время, чтобы сделать это!

Кроме того, мы запустили тест, чтобы увидеть, сколько сайтов WordPress в топ-1М работают на PHP 7 или выше.

И … из более чем 82 000 сайтов, которые показали свою версию PHP – 40% уже перешли на PHP 7.

Заголовки безопасного HTTP ответа

В эпоху, когда никто не застрахован от крупномасштабных кибератак, стоит инвестировать в обеспечение безопасности вашего сайта должным образом.

Поэтому мы хотели проверить, сколько веб-сайтов используют список безопасных заголовков OWASP для предотвращения распространенных веб-атак.

Результаты не слишком плохие …

И если вам интересно, почему Feature-Policy реализован так редко, это совершенно новая политика заголовков.

Политика компонентов позволяет веб-разработчикам выборочно включать, отключать и изменять поведение определенных API-интерфейсов и веб-функций в браузере. Это как CSP, но вместо того, чтобы контролировать безопасность, он контролирует функции!

Короче говоря, это помогает предотвратить выполнение браузером действий, которые могут быть вредоносными. В частности, действия, связанные с iFrames, медиа и электронной коммерцией.

HTTP / 2 на подъеме

HTTP / 2 был впервые представлен в 2015 году, но его внедрение, по меньшей мере, было довольно медленным.

Наш отчет показывает, что из всех сайтов в топ-1М, по крайней мере, 260 000 уже приняли HTTP / 2. Это почти треть всех размеров в списке.

Есть много причин, почему это так.

Многие сайты по-прежнему используют старый хостинг и серверы, которые просто не были обновлены для поддержки HTTP / 2.

Если вы используете Apache или NGINX, то включить HTTP / 2 для вашего сайта действительно просто.

Большинство современных веб-хостинговых компаний, включая CDN-провайдеров, поддерживают HTTP / 2 по умолчанию.

Так что, если вы еще не переключились, возможно, сейчас самое подходящее время для этого!

Люди все еще не догоняют, что надо включить SSL

Google хочет, чтобы издатели использовали HTTPS (что теперь также влияет на ранжирование в SEO), а Chrome помечает HTTP-сайты как незащищенные.

Если это не достаточная причина для переключения, то что же?

Тем не менее, согласно нашему анализу, только 50% сайтов в верхнем списке 1M включили HTTPS.

Также… вы можете получить сертификат SSL для своего сайта совершенно бесплатно, используя сервис Let’s Encrypt.

Вы также можете прочитать нашу статью о том, как настроить Let’s Encrypt для вашего сайта.

Заключительные заметки

• Источник данных – Alexa Top 1 миллион сайтов по состоянию на 23 декабря 2018 года
• Тест проводился на 2-й неделе января 2019 г.
• Как вы можете догадаться, тесты проводились с использованием Python.
• Безопасность соблюдалась, поскольку сайты не позволяли боту подключаться.