前100万个网站的安全性，性能和WordPress分析

本文概述

• WordPress有多流行？
• 最受欢迎的插件
• 最受欢迎的主题
• WordPress 4.x慢慢失去了掌握
• 什么是最受欢迎的Web服务器？
• PHP处于主导地位
• 安全的HTTP响应标头
• HTTP / 2兴起
• 人们仍在努力启用SSL
• TTFB：第一个字节的时间

你是否有兴趣了解有关世界上前100万个站点的事实？

在这份详尽的报告中, 我们讨论了全球最受欢迎的网站上WordPress的使用情况, 安全性分析和性能因素。

你是否知道流通的主机名超过15亿, 活跃的网站大约有1.8亿？如果你喜欢这些类型的统计信息, 请查看Netcraft的每月Web服务器调查报告。该调查的重点是监视所有活动站点和域名的Web。

截至2019年1月的主机名和活动网站的总数。

在任何给定时间都有如此众多站点活跃着的事实中, 你知道有很多赢家和很多输家。诸如Internet Map之类的网站相对于位于前1000万甚至更高范围内的网站, 提供了相对于某些网站的主导地位的鲜明观点。

如果你今天要开始一个新网站, 你进入第一百万个网站列表需要花费多长时间？最高10, 000或最高1, 000呢？你可能需要几年的时间才能接近。

但是, 这不一定要走很长的路。

如果你可以弄清全球最受欢迎网站的主要趋势, 则可以以稳定的增长方式优化网站。

这是我们分析的前提。我们正在寻找Alexa目录中列出的前100万个网站, 并试图了解哪些技术最普遍。

准备了解所有内容吗？让我们开始吧！

WordPress有多流行？

我们知道WordPress作为内容管理系统的市场份额为60％, 但是WordPress在排名前100万的网站中的流行程度如何？

为了找出答案, 这是我们在扫描过程中使用的标准：

• 在每个网站的源代码中检查wp-content, wp-json和wp-includes。
• 检查响应标头中的wp-json。
• 检查页面源中的meta-generator标签。

结果如下：

我们的分析表明, 排名前1M的网站中有26.5％的网站使用WordPress。由于某些网站对公众隐藏信息, 因此错误率大约为2％。

WordPress一次又一次地证明了它是一个能够支持任何规模和受欢迎程度的网站的平台。

诸如TechCrunch, Marks＆Spencer和Quartz之类的大人物都在使用WordPress为数百万的每月访问者提供内容。

你是否在网站上使用WordPress？入门很容易, 你可以立即获得访问数千个主题和插件的好处。

如果你需要有关配置WordPress网站的帮助, 请查看我们的教程和文章部分, 我们在其中分享了可行的技巧！

说到这, 让我们看一下前1M网站列表中最受欢迎的WordPress主题和插件。

最受欢迎的插件

WordPress非常依赖其插件生态系统来提供真正的动态网站体验。如果开发人员需要编写自定义代码以向其站点添加功能, 则WordPress用户可以使用插件来执行相同的操作。

我们很快学到的一件事是, 很难获得最流行插件的准确列表。原因是许多WordPress用户混淆(最小化)了他们的CSS和JavaScript文件, 进而阻止了对某些插件路径的访问。

不过, 以下是排名前1M列表中所有基于WordPress的网站上最受欢迎插件的最新图表：

结果并不意外。 Contact Form 7是最推荐的联系人插件, 几乎包含在每个WordPress插件列表中。 Jetpack非常适合在WordPress博客中添加众多社交功能, 而Visual Composer可以帮助你轻松设计自定义网站。

我们在前10个列表中也有Cookie通知, 它与GDPR直接相关；新的欧盟数据保护法规于2018年初生效。此外, OneSignal跻身前十名。OneSignal是一个出色的WordPress插件, 用于向你的站点添加推送通知。

好了, 现在我们已经了解了插件, 让我们来看看主题！

最受欢迎的主题

从某种意义上说, 每当WordPress文件缩小时, 主题路径也会被混淆, 因此我们在这里有一个类似的问题。但是, 我们所拥有的数据是准确的, 非常符合我们的期望。

看来Divi成为领先的1M网站列表中最受欢迎的WordPress主题。考虑到ElegantThemes已投入大量资金来推广该主题, 这听起来是对的。

接下来, 我们有一份报纸和Avada。由于Avada在ThemeForest上的销售量超过490, 000, 因此我们毫无疑问会在前十个主题列表中看到它。

Avada主题提供的众多演示设计之一。

自从大多数WordPress主题针对每个主题推出多个演示设计以来, 已经过去了大约两年时间。结果, 一个主题可以仅仅因为它提供了许多不同的解决方案而累积了成千上万的用户。

令人惊讶的是, 我们没有在此列表中看到诸如Thrive或Genesis之类的主题。多年来, 两者都取得了巨大的增长, 但也许没有许多人想象的稳定。

WordPress 4.x慢慢失去了掌握

对于最后一个WordPress指标, 我们正在研究仍在轮换的不同版本。早在2018年12月, WordPress最终发布了其”备受期待”的5.0版本, 该版本与新的Gutenberg编辑器预先包装在一起。

社区一直不愿意接受古腾堡, 因为其刻板的性质和给作家带来的困难。尽管马特·穆伦维格(Matt Mullenweg)放心, 古腾堡(Gutenberg)会随着时间的推移而有所改善, 但许多人却决定不改行。根据WordPress：经典编辑器将一直支持到2021年。

数据如下：

自发布以来两个月, 排名前1M的网站中有60, 000个站点已将其站点更新为最新版本。

但是, WordPress 4.x保持主导地位, 这可能与代理机构和外部开发人员建立许多站点这一事实有关。结果, 将网站从一个版本更新到另一个版本可能会导致一些主要问题。

现在, 我们对WordPress有了一点了解, 让我们来看看我们学到的其他有趣的事实。

什么是最受欢迎的Web服务器？

我们对服务器标头进行了详尽的分析, 以分析前100万个网站中最受欢迎的Web服务器和代理。这些发现并不会让我们感到惊讶。

Apache看起来很显然是赢家, 不是吗？好吧, 尽管Apache无疑很受欢迎, 但你必须记住Cloudflare, OpenResty和SUCURI使用Nginx。结果, Nginx设法稍微领先了一些。

以下是最受欢迎的Web服务器的整体市场份额数据：

仅仅在几年前, 这份报告就已经被颠倒了-赞成Apache。但是, 由于Nginx的快速发展和你可以获得的性能优势, 我们知道Nginx只会继续占据主导地位。

另外, 如果你查看Netcraft的最新报告, 将会发现Microsoft和Apache在市场份额列表中排名第一。

但是请记住, 我们的分析是基于前100万个网站进行的。由于Nginx被认为是最快的Web服务器, 因此世界上最好的网站选择Nginx作为他们的首选解决方案也就不足为奇了。

PHP处于主导地位

我们分析了整个站点列表中的” X-Powered-By”标题, 结果表明PHP主导了这一方式。

可以说WordPress在这一领域的地位举足轻重, 但是众所周知, PHP比大多数现代技术存在的时间更长。

” X-Powered-By”是常见的非标准HTTP响应标头(大多数标有” X-“前缀的标头是非标准的)。默认情况下, 通常通过特定的脚本技术将其包含在响应中。请务必注意, 服务器可以禁用和/或操纵它。

Windows在ASP.NET和PleskLin中出现了两次, 但我们还有Express和Passenger：两个极其强大的Node.js Web应用程序框架。

我们还把EasyEngine列入了清单。 EasyEngine是一个鲜为人知的基于Nginx的脚本, 用于运行和维护WordPress网站。

它预包装了Redis(用于缓存), Let’s Encrypt(用于SSL), Docker和其他一流的软件解决方案, 用于创建高性能的WordPress网站。

哪个版本的PHP最重要？

PHP 7于2015年12月发布, 但距离PHP 5.x甚至还远未普及-至少可以说令人惊讶！

在分析了前100万个站点之后, 我们发现207, 399个站点公开声明它们由PHP驱动。

等等…

前1M站点中的146, 227个站点仍在使用PHP 5.x！堂

尽管PHP 5仍然占据主导地位, 但很高兴看到开发人员越来越愿意过渡到PHP 7。

事实是：PHP 7比PHP 5的性能更好。

鉴于对PHP 5.6(最新的5.X版本)的支持已在2018年末停止提供, 现在是进行转换的最佳时机！

此外, 我们进行了一项测试, 以查看排名前1M的WordPress网站中有多少个运行PHP 7或更高版本。

而且, 在显示PHP版本的82, 000多个站点中, 有多达40％的站点已经切换到PHP 7。

安全的HTTP响应标头

在没有人可以免受大规模安全攻击的时代, 值得投资以正确保护你的网站。

因此, 我们想检查有多少网站正在实施OWASP安全标头列表, 以防止常见的网络攻击。

结果不太差劲……

而且, 如果你想知道为什么如此稀疏地实施了Feature-Policy, 则它是全新的标头策略。

功能策略允许Web开发人员在浏览器中选择性地启用, 禁用和修改某些API和Web功能的行为。就像CSP一样, 它不是控制安全性, 而是控制功能！

简而言之, 它有助于防止浏览器执行可能是恶意的操作。特别是与iFrame, 媒体和电子商务有关的操作。

HTTP / 2兴起

图片来源：coolicehost

至少可以说, HTTP / 2于2015年首次引入, 但采用速度相当缓慢。

我们的报告显示, 在收入最高的前100万个站点中, 至少有260, 000个已经采用HTTP / 2。这几乎是列表中所有尺寸的1/3。

之所以如此, 有很多原因。许多网站仍在使用旧的托管和服务器, 而这些托管和服务器只是尚未升级为支持HTTP / 2。

如果你使用Apache或NGINX, 那么为你的站点启用HTTP / 2实际上非常容易。

默认情况下, 大多数现代Web托管公司(包括CDN提供程序)都支持HTTP / 2。因此, 如果你尚未进行切换, 那么现在也许是完美的时机！

人们仍在努力启用SSL

Google希望发布者使用HTTPS(现在也影响SEO排名), 而Chrome浏览器将HTTP网站标记为不安全。

如果这还不是切换的足够大的理由, 那是什么？

但是, 根据我们的分析, 在前1M列表中只有50％的站点启用了HTTPS。如果你问我, Kinda就会发疯…

查看此视频, 了解HTTPS的全部内容以及为什么要关注：

另外…你可以使用”加密”服务完全免费获取网站的SSL证书。

你还可以阅读有关如何为你的网站设置”加密”的文章。

TTFB：第一个字节的时间

对于所有人而言, 这里的性能书呆子都会对TTFB进行分析。

• 发现343, 328个站点的第一个字节的时间少于300毫秒。
• 284, 070被发现在301到600毫秒之间。
• 261, 629被发现在601到1000毫秒之间。
• 1000毫秒以上有110, 973个站点。

行业推荐的目标是服务器响应时间小于200毫秒。

大多数现代站点的范围是200-500ms, 这被认为是”规范”。

但是, 如果站点波动超过600毫秒, 则可能需要调查服务器配置。

结论说明

• 数据来源–截至2018年12月23日, Alexa前100万个站点
• 该测试于2019年1月的第二周进行
• 你可能会猜到, 测试是使用Python完成的。
• 由于网站不允许漫游器连接, 因此安全受到尊重。