前100万个网站的安全性、性能和WordPress分析

你对了解世界排名前100万个网站的事实感兴趣吗？

在这份详尽的报告中，我们将谈论到关于全球最流行的网站中WordPress使用情况、安全分析和性能因素的相关内容。

你知道目前有超过15亿个主机名和大约1.8亿个活跃网站吗？如果你喜欢这些统计数据，可以查看每月的Web Server Survey report from Netcraft。该调查专注于监测所有活跃网站和域名。

由于任何时候都有这么多活跃的网站，你可以确定有很多赢家和输家。像The Internet Map这样的网站，让我们清楚地看到某些网站在与排名在前1000万名以及更靠后的网站相比中的优势。

如果你打算今天开始一个新的网站，需要多长时间才能进入前100万名的网站列表？那么前1万名或者前1000名呢？可能需要你数年才能接近。

但是，并不一定要走一条又长又难的路。

如果你能找出世界上最受欢迎的网站中的主要趋势，你可以优化你的网站，使你的增长稳定。

这是我们分析的前提。我们正在研究top 1 million websites as listed by the Alexa directory并试图了解在整个领域中最受欢迎的技术。

准备好了吗？让我们开始吧！

WordPress有多受欢迎？

我们知道WordPress有一个market share of 60% as a content management system，但是在前100万个网站中，WordPress有多受欢迎呢？

为了找到答案，我们在扫描过程中使用了以下标准：

• 检查每个网站的源代码中是否包含wp-content、wp-json和wp-includes。
• 检查响应头中是否有wp-json。
• 检查页面源代码中是否有标签。

以下是结果：

我们的分析显示，在前100万个网站中，有26.5%的网站使用了WordPress。由于一些网站对公众隐藏了信息，误差范围大约为2%。

WordPress一次又一次地证明了它是一个能够支持任何规模和受欢迎程度的网站的平台。

像TechCrunch、Marks & Spencer和Quartz这样的大牌使用WordPress为数百万月访问者提供内容。

你在你的网站上使用WordPress吗？开始使用很简单，你可以立即享受到拥有数千个主题和插件的好处。

如果你需要帮助配置你的WordPress网站，check out our tutorials and articles section我们在那里分享了可行的提示！

说到这一点，让我们来看看在前100万个网站列表中最受欢迎的WordPress主题和插件。

最受欢迎的插件

WordPress在很大程度上依赖于其插件生态系统，以提供真正动态的网站体验。如果开发人员需要编写自定义代码来为网站添加功能，那么WordPress用户可以使用插件来完成同样的事情。

我们很快发现，获取最受欢迎的插件的准确列表相当困难。原因是许多WordPress用户对他们的CSS和JavaScript文件进行了混淆（压缩），从而阻止访问某些插件路径。

尽管如此，以下是在前100万个基于WordPress的网站中最受欢迎插件的最新图表：

结果并不令人意外。Contact Form 7是目前最受推荐的联系插件，几乎出现在每个WordPress插件列表中。Jetpack是为WordPress博客添加多种社交功能的绝佳选择，而Visual Composer helps you design custom websites则能轻松地实现这一功能。

在这个前十名清单中，我们还有 Cookie Notice，它与 GDPR 直接相关；这是在2018年初生效的新欧盟数据保护法规。此外，OneSignal 也进入了前十名。OneSignal 是一个异常出色的 WordPress plugin for adding push notifications to your site。

好了，现在我们已经看过插件了，让我们来看一下主题吧！

最受欢迎的主题

我们在这里也有一个类似的问题，就是每当WordPress文件被压缩时，主题路径也会被混淆。但是，我们拥有的数据是准确且非常符合我们的预期。

看起来 Divi 作为最受欢迎的WordPress主题在前100万个网站的清单中处于领先地位。考虑到ElegantThemes已经投入了大量资金来推广该主题，这是合理的。

接下来，我们有一个 Newspaper 和 Avada。由于Avada在ThemeForest上的销售量超过了49万，毫无疑问我们会在前十个主题的清单中看到它。

大约有两年时间，自从大多数WordPress主题以每个主题多个演示设计的方式推出以来。因此，一个主题可以积累成千上万的用户，仅仅是因为它提供了如此多样化的解决方案。

令人惊讶的是，我们在这个清单中没有看到像Thrive或者 Genesis 这样的主题。两者的增长都非常巨大，但可能并不像许多人认为的那样稳定。

WordPress 4.x正在慢慢失去市场份额

对于最后一个WordPress指标，我们正在查看仍在使用的不同版本。早在2018年12月，《链接_17》，它与新的古腾堡编辑器一起预装。

由于古腾堡的刻板性和写作困难，社区一直不愿接受古腾堡。虽然 Matt Mullenweg has reassured 古腾堡会随着时间的推移而改进，但许多人决定不切换。根据WordPress的说法：the Classic Editor will be supported until 2021。

这是数据：

发布两个月后，前100万个网站中有60000个网站已经更新到了最新版本。

然而，WordPress 4.x 依然保持着主导地位，这可能与机构和外部开发者构建许多网站有关。因此，从一个版本升级到另一个版本可能会导致一些重大问题。

现在我们对WordPress有了一点了解，让我们来看看我们所学到的其他有趣的事实。

最流行的Web服务器是什么？

我们对 Server Headers 进行了全面的分析，以分析前100万个网站中最受欢迎的Web服务器和代理。而结果并不让我们感到意外。

Apache看起来显然是赢家，不是吗？嗯，虽然Apache确实很受欢迎，但你必须记住 Cloudflare、OpenResty、SUCURI 使用的是Nginx。因此，Nginx略微领先。

以下是最受欢迎的Web服务器的市场份额数据：

仅仅几年前，这份报告的结果可能是颠倒的，更有利于Apache。但是，由于Nginx的快速发展和它所提供的性能优势，我们知道Nginx将继续主导。

此外，如果你看一下 the latest report from Netcraft，你会发现Microsoft和Apache是市场份额排名的前两位。

但请记住，我们的分析是基于前100万个网站。因为 Nginx is considered the fastest web server，我们并不奇怪世界上最好的网站选择它作为首选解决方案。

PHP处于主导地位

我们分析了所有网站列表中的“X-Powered-By”头，并且结果显示PHP处于主导地位。

可以说，WordPress对于这种占主导地位做出了重大贡献，但众所周知的是PHP的存在时间比大多数现代技术都要长。

“X-Powered-By”是常见的非标准HTTP响应头（大多数以“X-”为前缀的标头都是非标准的）。它通常默认包含在通过特定脚本技术构造的响应中。重要的是要注意它可以被服务器禁用和/或操纵。

Windows出现了两次，分别使用了ASP.NET和PleskLin，但我们也有 Express 和 Passenger：两个非常强大的 Node.js web application frameworks。

而且我们还有 EasyEngine。EasyEngine是一个较少人知的基于Nginx的脚本，用于运行和维护WordPress网站。

它预装了 Redis（用于缓存）、Let’s Encrypt（用于SSL）、Docker和其他一流的软件解决方案，用于创建高性能的WordPress网站。

哪个版本的PHP处于领先地位？

PHP 7 在2015年12月发布，但它与PHP 5.x相比并不受欢迎 —— 简直令人惊讶！

在分析了前100万个网站之后，我们发现207,399个网站公开声明它们是由PHP驱动的。

等一下……

146,227个位于前100万个网站中的网站仍在使用PHP 5.x！真是让人惊讶……

尽管PHP 5仍然如此占主导地位，但很高兴看到开发人员越来越习惯于转向PHP 7。

事实是：PHP 7 has better performance over PHP 5。

鉴于support for PHP 5.6 (the latest 5.X release) was discontinued in late 2018，现在是最好的时机进行切换！

此外，我们还进行了一个测试，看看前100万个WordPress站点中有多少正在运行PHP 7或更高版本。

……在82,000多个显示其PHP版本的站点中，高达40%已经切换到了PHP 7。

安全的HTTP响应头

在一个 nobody is safe from large-scale security attacks 的时代，投资于正确的 securing your website 是值得的。

因此，我们想检查有多少个网站正在实施 OWASP Secure Headers 列表以防止常见的Web攻击。

结果不错……

如果你想知道为什么 Feature-Policy 实施得如此稀少，那是因为它是一个全新的头部策略。

特性策略允许Web开发人员有选择地启用、禁用和修改浏览器中某些API和Web功能的行为。它就像CSP一样，但控制的是功能，而不是安全性！

简而言之，它有助于防止浏览器执行可能具有恶意的操作。特别是与iFrames、媒体和电子商务相关的操作。

HTTP/2在兴起

HTTP/2已经 first introduced in 2015，但采用速度相对较慢。to say the least。

我们的报告显示，在前100万个网站中，至少有260,000个已经采用了HTTP/2。这几乎占据了列表中所有的1/3。

这是有很多原因的。许多网站仍在使用旧的托管和服务器，它们尚未升级以支持HTTP/2。

如果你使用Apache或NGINX，那么 enabling HTTP/2 for your site 实际上非常简单。

大多数主机，包括 CDN providers 在内，都默认支持HTTP/2。所以，如果你还没有进行切换，现在可能是一个完美的时机！

人们仍在努力启用SSL

Google wants publishers to use HTTPS（现在也影响SEO排名），而Chrome标记HTTP网站为不安全。

如果这还不足够的理由让你进行切换，那还有什么呢？

尽管如此，根据我们的分析，只有50%的前100万个网站启用了HTTPS。如果你问我，这是相当疯狂的……

观看这个视频，了解HTTPS是什么以及为什么你应该关注它：

此外…你可以使用Let’s Encrypt服务完全免费获得你网站的SSL证书。

您还可以阅读我们的一篇关于 how to set up Let’s Encrypt for your website的文章。

TTFB: 首字节时间

对于所有的性能迷来说，这里有一个关于TTFB的分析。

• 发现343,328个网站的首字节时间小于300毫秒。
• 发现284,070个网站的首字节时间在301至600毫秒之间。
• 发现261,629个网站的首字节时间在601至1000毫秒之间。
• 有110,973个网站的首字节时间超过1000毫秒。

行业建议的服务器响应时间应该小于200毫秒。

大多数现代网站的响应时间在200-500毫秒之间，被认为是“正常”的。

然而，如果您的网站的响应时间波动在600毫秒以上，您可能需要检查服务器配置。

总结说明

• 数据来源-截至2018年12月23日的Alexa前100万个网站
• 测试是在2019年1月的第二周进行的
• 如您所猜测的，测试是使用Python进行的。
• 对于不允许机器人连接的网站，我们尊重了其安全性。