WordPress est le système de gestion de contenu le plus populaire au monde il est donc plus facilement et naturellement la cible de nombreuses cyberattaques. Et pour cause, les vulnérabilités de la solution ne cessent d’augmenter.
Le livre blanc de la société Patchstack, une entreprise spécialisée dans la cybersécurité et spécialiste dans la sécurité WordPress , a révélé que près de 30% des bugs critiques dans les extensions WordPress ne sont jamais corrigés.
Ce livre Blanc analyse les menaces qui pèsent sur l’écosystème de WordPress, en particulier sur les plugins et les thèmes du CMS utilisés par 43,2 % des sites web en 2021 (vs 39,5 % en 2020). Le rapport s’appuie sur les données issues de sa base de vulnérabilités, la Patchstack Alliance, ainsi que les signalements publics. Au total, l’éditeur a analysé 50 000 sites et vérifié la sécurité des plugins et thèmes installés.
Ce que l’on retient des données du livre blanc
En 2021, la société a constaté une augmentation de 150% des vulnérabilités reportées par rapport à l'année précédente.
Le noyau WordPress a connu des améliorations durant l'année 2021 avec 4 versions de sécurité. L’une de ces 4 versions contenait un correctif pour une vulnérabilité critique, qui vient d’un composant Open Source “La bibliothèque PHPMailer”
Sur l'ensemble des failles identifiées, 91% proviennent de plugins gratuits, tandis que les extensions payantes / premium semblent offrir un service de sécurité supplémentaire.
35 vulnérabilités exploitées l'année dernière dans les extensions WordPress, 2 d'entre elles ont exposé à elles seules 4 millions de sites web (les plugins "OptinMonster" et "All in One SEO").
De plus, 42 % des sites WordPress ont installé au moins un composant (thème ou plugin) vulnérable au cours de l’année dernière.
55 thèmes présentaient l’an dernier des problèmes de sécurité liés aux fonctionnalités de téléchargement de fichiers. Ceci est un problème récurrent lié au fait que les thèmes incluent généralement un code personnalisé pour la fonctionnalité de téléchargement de fichiers.
L'étude révèle également que la faille de sécurité la plus exploitée auprès des sites WordPress en 2021 est de loin (50%) celle du cross-site scripting (XSS), qui permet d'injecter du contenu dans une page et de provoquer des actions sur les navigateurs qui affichent cette page.
Mais alors quelles solutions pour les administrateurs de sites web ?
L’entreprise Patchstack précise par ailleurs que les vulnérabilités faciles à installer constituent des cibles de premier choix pour les attaquants, tout comme les anciennes failles déjà détectées, et ce même depuis plusieurs années.
Dans ces cas où aucun correctif n’est disponible, les utilisateurs et administrateurs des sites web doivent vérifier manuellement s’ils ont installé ces plugins et les supprimer ou trouver des alternatives. Il n’existe aucun moyen de communiquer ce problème directement aux propriétaires de sites web exécutant ces plugins, car ils apparaîtront « à jour » dans les pages d’administration de WordPress s’ils sont installés.
En conclusion
Ainsi le Livre Blanc révèle en conclusion que dans l'ensemble, le cœur de WordPress est très sécurisé et que la grande majorité des vulnérabilités se trouvent dans les thèmes et les plugins. Les utilisateurs et administrateurs doivent surveiller leurs extensions et vérifier périodiquement si elles ont été abandonnées, car tous les logiciels vulnérables ne sont pas garantis d'être corrigés. Consultez le livre blanc complet sur la sécurité pour plus de détails sur les types de vulnérabilités les plus courantes en 2021.
NB : Patchstack a lancé une plateforme gamified bug bounty sur laquelle des chercheurs indépendants en sécurité (“Patchstack Alliance”) peuvent signaler des vulnérabilités dans les composants d’applications Web open source tels que les plugins WordPress et recevoir des évaluations en fonction de leurs résultats. Le “Patchstack Alliance” fait appel à la générosité des entreprises et à leur soutien.
