Publié le 30 mars 2024, modifié le 28 avril 2024 par Alexandre Duval

Les chercheurs en sécurité WordPress de Patchstack ont ​​publié leur livre blanc annuel sur l'état de la sécurité de WordPress, qui montre une augmentation des vulnérabilités de gravité élevée et critique, soulignant l'importance de la sécurité pour tous les sites Web de la plate-forme WordPress.

  • Les vulnérabilités de gravité élevée et critique augmentent sur WordPress.
  • XSS est la principale vulnérabilité identifiée pour 2023.
  • De nombreux plugins populaires présentent encore des vulnérabilités de niveaux élevé et critique.

XSS est la principale vulnérabilité WordPress de 2023

Il existe de nombreux types de vulnérabilités, mais la plus courante est de loin les vulnérabilités de script intersite (XSS), qui représentent 53,3 % de toutes les nouvelles vulnérabilités de sécurité WordPress.

Les vulnérabilités XSS se produisent généralement en raison d’une « désinfection » insuffisante des entrées utilisateur, ce qui inclut le blocage de toute entrée non conforme à ce qui est attendu. Patchstack a indiqué que le framework Freemius, une plateforme de commerce électronique gérée par un tiers, représentait plus de 1 200 de toutes les vulnérabilités XSS, soit 21 % de toutes les nouvelles vulnérabilités XSS découvertes en 2023.

Le kit de développement logiciel (SDK) Freemius est utilisé comme composant de plus de 1 200 plugins qui sont à leur tour installés sur plus de 7 millions de sites WordPress. Cela met en évidence le problème des vulnérabilités de la chaîne d’approvisionnement lorsqu’un composant est utilisé dans le cadre d’un plugin WordPress, ce qui augmente par la suite la portée d’une vulnérabilité au-delà d’un seul plugin.

Le rapport de Patchstack explique :

« Cette année, nous avons vu une fois de plus comment une seule vulnérabilité de script intersite dans le framework Freemius a permis à 1 248 plugins d'hériter de la vulnérabilité de sécurité, exposant ainsi leurs utilisateurs à des risques.

21 % de toutes les nouvelles vulnérabilités découvertes en 2023 peuvent être attribuées à cette faille. Il est essentiel que les développeurs choisissent leur pile avec soin et appliquent rapidement les mises à jour de sécurité dès qu'elles sont disponibles.

Plus de vulnérabilités classées élevées ou critiques

Les vulnérabilités se voient attribuer un score de gravité qui correspond au degré de perturbation d'une faille découverte. Les notes vont de faible, moyenne, élevée et critique.

En 2022, 13 % des nouvelles vulnérabilités ont été classées comme élevées ou critiques. Ce pourcentage a grimpé en flèche en 2023 pour atteindre 42,9 %, ce qui signifie qu’il y avait plus de vulnérabilités destructrices en 2023 que l’année précédente.

Vulnérabilités authentifiées et non authentifiées

Une autre mesure qui apparaît dans le rapport est le pourcentage de vulnérabilités qui ne nécessitent aucune authentification (non authentifiées), ce qui signifie que l'attaquant n'a besoin d'aucun niveau d'autorisation utilisateur pour lancer une attaque.

Les failles qui nécessitent qu'un attaquant dispose d'autorisations de niveau abonné à niveau administrateur ont une barre plus élevée à surmonter pour les attaquants. Les vulnérabilités non authentifiées ne nécessitent pas que l'attaquant obtienne au préalable un niveau d'autorisation, ce qui rend ce type de vulnérabilités plus préoccupantes car elles peuvent être exploitées via des attaques automatiques, comme avec des robots qui sondent un site à la recherche de la vulnérabilité puis lancent automatiquement des attaques.

Patchstack a constaté que 58,9 % de toutes les nouvelles vulnérabilités ne nécessitaient aucune authentification.

Les plugins abandonnés augmentent en tant que facteur de risque

Une autre cause importante de vulnérabilités est le grand nombre de plugins abandonnés. En 2022, Patchstack a signalé 147 plugins et thèmes abandonnés sur WordPress.org et parmi eux, 87 ont été supprimés et les autres ont été corrigés.

En 2023, le nombre de plugins abandonnés a explosé, passant de 147 en 2022 à 827 plugins et thèmes en 2023. Alors que 87 plugins vulnérables abandonnés ont été supprimés en 2022, 481 ont été supprimés en 2023.

Patchstack noté :

« Nous avons signalé 404 de ces plugins en une seule journée pour attirer l’attention sur la « pandémie de plugins zombies » dans WordPress. De tels plugins « zombies » sont des composants qui semblent sûrs et à jour à première vue, mais qui peuvent contenir des problèmes de sécurité non corrigés. De plus, ces plugins restent actifs sur les sites des utilisateurs même s’ils sont supprimés du référentiel de plugins WordPress.

Plugins les plus populaires présentant des vulnérabilités

Comme mentionné précédemment, les niveaux de gravité varient de faible, moyen, élevé et critique. Patchstack a compilé une liste des plugins les plus populaires présentant des vulnérabilités.

En 2022, il y avait 11 plugins populaires avec plus d'un million d'installations actives contenant des vulnérabilités. En 2023, Patchstack a abaissé la barre des installations d'un million à plus de 100 000 installations. Pourtant, même s’il a été plus facile de figurer sur la liste, seuls 9 plugins populaires se sont révélés présenter une vulnérabilité, bien moins qu’en 2022.

En 2022, seuls cinq des 11 plugins les plus populaires présentant des vulnérabilités contenaient une vulnérabilité de gravité élevée, aucun ne contenait une vulnérabilité de niveau critique et les autres étaient de niveau de gravité moyenne.

Ces chiffres se sont considérablement aggravés en 2023. Malgré l’abaissement du seuil de ce qui est considéré comme un plugin populaire, les neuf plugins de la liste contenaient tous des vulnérabilités de niveau critique. L’écrasante majorité des plugins de cette liste, six sur neuf, contenaient des vulnérabilités non authentifiées, ce qui signifie que leur exploitation est facile à faire évoluer grâce à l’automatisation. Les trois autres qui nécessitaient une authentification nécessitaient uniquement un accès au niveau de l'abonné, qui est le niveau d'autorisation le plus simple à acquérir. Il suffit de s'inscrire, de vérifier l'e-mail et ils y sont. Cela également peut être étendu grâce à l'automatisation.

Liste des plugins les plus populaires présentant des vulnérabilités

  1. Modules complémentaires essentiels pour les installations Elementor 1M+ (indice de gravité 9,8)
  2. Installations WP Fastest Cache 1M+ (indice de gravité 9,3)
  3. Installations Gravity Forms 940k (indice de gravité 8,3)
  4. Installations de Fusion Builder 900 000 (indice de gravité 8,5)
  5. Flatsome (Thème) 618 000 installations (indice de gravité 8,3)
  6. WP Statistics 600 000 installations (indice de gravité 9,9)
  7. Installations du Forminator 400k (indice de gravité 9,8)
  8. Installations WPvivid Backup and Migration 30ok (indice de gravité 8,8)
  9. JetElements pour les installations Elementor 30ok (indice de gravité 8,2)

L’état de la sécurité de WordPress est pire

Si vous avez l’impression qu’il y a plus de vulnérabilités que jamais auparavant, maintenant vous en connaissez la raison, les statistiques parlent d’elles-mêmes. Il y aura davantage de vulnérabilités en 2023 et un pourcentage plus élevé se situeront à des niveaux élevés et critiques qui peuvent être exploités grâce à l’automatisation à grande échelle.

Cela signifie que tous les éditeurs doivent améliorer leur sécurité et s'assurer que quelqu'un prend la responsabilité d'auditer régulièrement leurs plugins et thèmes pour s'assurer qu'ils sont tous mis à jour et activement entretenus.

Les référenceurs devraient en tenir compte, car la sécurité devient rapidement un problème de classement lorsque Google supprime un site piraté des résultats de recherche. De nombreux référenceurs qui effectuent des audits de sites n'effectuent même pas les contrôles de sécurité les plus élémentaires, comme vérifier si les en-têtes de sécurité sont en place, ce que je fais dans le cadre de chaque audit que j'effectue. Assurez-vous toujours d’avoir une discussion avec les clients sur leur sécurité pour vous assurer qu’ils sont conscients des risques.

Patchstack est un exemple de service qui protège automatiquement les sites WordPress contre les vulnérabilités avant même que le plugin ne publie un correctif pour corriger la vulnérabilité. Ces types de services sont importants afin de créer une défense contre le piratage et la perte de visibilité et de revenus dans les recherches.

Lisez le rapport Patchstack :

État de la sécurité de WordPress en 2023

Image en vedette par Shutterstock/Iurii Stepanov

FAQ

Qu'est-ce qu'une vulnérabilité de l'utilisateur dans WordPress ?

Une vulnérabilité de l'utilisateur dans WordPress est une faille qui peut être exploitée par des hackers pour accéder à des informations sensibles ou prendre le contrôle du site internet. Elle peut être causée par un manque de vigilance de la part de l'utilisateur, comme l'utilisation d'un mot de passe faible ou le téléchargement d'extensions non sécurisées.

Ces vulnérabilités peuvent mettre en danger la sécurité et la confidentialité des données personnelles des utilisateurs ainsi que la stabilité du site web. Il est donc important pour les utilisateurs de se montrer prudents et bien informés afin d'éviter ce genre de risques.

Existe-t-il une base de données des vulnérabilités des plugins WordPress ?

Il existe en effet une base de données bien connue pour les vulnérabilités des plugins WordPress. Il s'agit de WPScan Vulnerability Database, qui référence plus de 21 000 vulnérabilités liées à plus de 9 000 plugins différents.

Cette base de données est régulièrement mise à jour par la communauté et permet aux utilisateurs de se tenir informés des risques liés à certains plugins avant de les installer sur leur site. Elle constitue donc une ressource utile pour garantir la sécurité et la fiabilité d'un site WordPress.

Peut-on avoir une liste des vulnérabilités dans WordPress ?

Il est possible d'obtenir une liste des vulnérabilités dans WordPress en se référant aux différentes sources telles que les forums, sites spécialisés en sécurité informatique ou encore les mises à jour régulières publiées par l'équipe de développement de WordPress. Il est également recommandé de utiliser un plugin de sécurité pour identifier et corriger toute faille éventuelle dans votre site WordPress.

Enfin, il est important de toujours maintenir la version de WordPress à jour afin de limiter les risques d'attaque liées aux vulnérabilités connues.

En quoi consiste la vulnérabilité de téléchargement de fichiers dans WordPress ?

La vulnérabilité de téléchargement de fichiers dans WordPress consiste en la possibilité pour des pirates informatiques d'insérer des fichiers malveillants sur le site web. Ces fichiers peuvent ensuite être exécutés par les utilisateurs, mettant ainsi en péril la sécurité du site et des données personnelles des visiteurs.

Cette faille peut être exploitée si les mesures de sécurité telles que l'authentification ou la vérification des types de fichiers sont insuffisantes. Il est donc essentiel pour les administrateurs de site WordPress d'être vigilants et de mettre à jour régulièrement leurs plugins et thèmes pour éviter toute vulnérabilité potentielle.

Quels sont les failles de sécurité courantes des plugins dans WordPress ?

Les failles de sécurité courantes des plugins dans WordPress sont souvent liées à un manque de mise à jour régulière, qui laisse les portes ouvertes aux attaques potentielles. De plus, certaines extensions peuvent contenir du code malveillant ou vulnérable, créant ainsi une brèche dans la sécurité du site.

Les développeurs indépendants peuvent également introduire des fonctionnalités non sécurisées dans leurs plugins, ce qui peut compromettre la protection des données sensibles. C'est pourquoi il est important d'utiliser uniquement des extensions fiables et d'effectuer régulièrement des scans pour détecter toute faille éventuelle.

Categories: SEO

Alexandre Duval

Alexandre Duval

S’abonner
Notification pour
guest

Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x