Les chercheurs en sécurité WordPress de Patchstack ont ​​publié leur livre blanc annuel sur l'état de la sécurité de WordPress, qui montre une augmentation des vulnérabilités de gravité élevée et critique, soulignant l'importance de la sécurité pour tous les sites Web de la plate-forme WordPress.

XSS est la principale vulnérabilité WordPress de 2023

Il existe de nombreux types de vulnérabilités, mais la plus courante est de loin les vulnérabilités de script intersite (XSS), qui représentent 53,3 % de toutes les nouvelles vulnérabilités de sécurité WordPress.

Les vulnérabilités XSS se produisent généralement en raison d’une « désinfection » insuffisante des entrées utilisateur, ce qui inclut le blocage de toute entrée non conforme à ce qui est attendu. Patchstack a indiqué que le framework Freemius, une plateforme de commerce électronique gérée par un tiers, représentait plus de 1 200 de toutes les vulnérabilités XSS, soit 21 % de toutes les nouvelles vulnérabilités XSS découvertes en 2023.

Le kit de développement logiciel (SDK) Freemius est utilisé comme composant de plus de 1 200 plugins qui sont à leur tour installés sur plus de 7 millions de sites WordPress. Cela met en évidence le problème des vulnérabilités de la chaîne d’approvisionnement lorsqu’un composant est utilisé dans le cadre d’un plugin WordPress, ce qui augmente par la suite la portée d’une vulnérabilité au-delà d’un seul plugin.

Le rapport de Patchstack explique :

« Cette année, nous avons vu une fois de plus comment une seule vulnérabilité de script intersite dans le framework Freemius a permis à 1 248 plugins d'hériter de la vulnérabilité de sécurité, exposant ainsi leurs utilisateurs à des risques.

21 % de toutes les nouvelles vulnérabilités découvertes en 2023 peuvent être attribuées à cette faille. Il est essentiel que les développeurs choisissent leur pile avec soin et appliquent rapidement les mises à jour de sécurité dès qu'elles sont disponibles.

Plus de vulnérabilités classées élevées ou critiques

Les vulnérabilités se voient attribuer un score de gravité qui correspond au degré de perturbation d'une faille découverte. Les notes vont de faible, moyenne, élevée et critique.

En 2022, 13 % des nouvelles vulnérabilités ont été classées comme élevées ou critiques. Ce pourcentage a grimpé en flèche en 2023 pour atteindre 42,9 %, ce qui signifie qu’il y avait plus de vulnérabilités destructrices en 2023 que l’année précédente.

Vulnérabilités authentifiées et non authentifiées

Une autre mesure qui apparaît dans le rapport est le pourcentage de vulnérabilités qui ne nécessitent aucune authentification (non authentifiées), ce qui signifie que l'attaquant n'a besoin d'aucun niveau d'autorisation utilisateur pour lancer une attaque.

Les failles qui nécessitent qu'un attaquant dispose d'autorisations de niveau abonné à niveau administrateur ont une barre plus élevée à surmonter pour les attaquants. Les vulnérabilités non authentifiées ne nécessitent pas que l'attaquant obtienne au préalable un niveau d'autorisation, ce qui rend ce type de vulnérabilités plus préoccupantes car elles peuvent être exploitées via des attaques automatiques, comme avec des robots qui sondent un site à la recherche de la vulnérabilité puis lancent automatiquement des attaques.

Patchstack a constaté que 58,9 % de toutes les nouvelles vulnérabilités ne nécessitaient aucune authentification.

Les plugins abandonnés augmentent en tant que facteur de risque

Une autre cause importante de vulnérabilités est le grand nombre de plugins abandonnés. En 2022, Patchstack a signalé 147 plugins et thèmes abandonnés sur WordPress.org et parmi eux, 87 ont été supprimés et les autres ont été corrigés.

En 2023, le nombre de plugins abandonnés a explosé, passant de 147 en 2022 à 827 plugins et thèmes en 2023. Alors que 87 plugins vulnérables abandonnés ont été supprimés en 2022, 481 ont été supprimés en 2023.

Patchstack noté :

« Nous avons signalé 404 de ces plugins en une seule journée pour attirer l’attention sur la « pandémie de plugins zombies » dans WordPress. De tels plugins « zombies » sont des composants qui semblent sûrs et à jour à première vue, mais qui peuvent contenir des problèmes de sécurité non corrigés. De plus, ces plugins restent actifs sur les sites des utilisateurs même s’ils sont supprimés du référentiel de plugins WordPress.

Plugins les plus populaires présentant des vulnérabilités

Comme mentionné précédemment, les niveaux de gravité varient de faible, moyen, élevé et critique. Patchstack a compilé une liste des plugins les plus populaires présentant des vulnérabilités.

En 2022, il y avait 11 plugins populaires avec plus d'un million d'installations actives contenant des vulnérabilités. En 2023, Patchstack a abaissé la barre des installations d'un million à plus de 100 000 installations. Pourtant, même s’il a été plus facile de figurer sur la liste, seuls 9 plugins populaires se sont révélés présenter une vulnérabilité, bien moins qu’en 2022.

En 2022, seuls cinq des 11 plugins les plus populaires présentant des vulnérabilités contenaient une vulnérabilité de gravité élevée, aucun ne contenait une vulnérabilité de niveau critique et les autres étaient de niveau de gravité moyenne.

Ces chiffres se sont considérablement aggravés en 2023. Malgré l’abaissement du seuil de ce qui est considéré comme un plugin populaire, les neuf plugins de la liste contenaient tous des vulnérabilités de niveau critique. L’écrasante majorité des plugins de cette liste, six sur neuf, contenaient des vulnérabilités non authentifiées, ce qui signifie que leur exploitation est facile à faire évoluer grâce à l’automatisation. Les trois autres qui nécessitaient une authentification nécessitaient uniquement un accès au niveau de l'abonné, qui est le niveau d'autorisation le plus simple à acquérir. Il suffit de s'inscrire, de vérifier l'e-mail et ils y sont. Cela également peut être étendu grâce à l'automatisation.

Liste des plugins les plus populaires présentant des vulnérabilités

  1. Modules complémentaires essentiels pour les installations Elementor 1M+ (indice de gravité 9,8)
  2. Installations WP Fastest Cache 1M+ (indice de gravité 9,3)
  3. Installations Gravity Forms 940k (indice de gravité 8,3)
  4. Installations de Fusion Builder 900 000 (indice de gravité 8,5)
  5. Flatsome (Thème) 618 000 installations (indice de gravité 8,3)
  6. WP Statistics 600 000 installations (indice de gravité 9,9)
  7. Installations du Forminator 400k (indice de gravité 9,8)
  8. Installations WPvivid Backup and Migration 30ok (indice de gravité 8,8)
  9. JetElements pour les installations Elementor 30ok (indice de gravité 8,2)

L’état de la sécurité de WordPress est pire

Si vous avez l’impression qu’il y a plus de vulnérabilités que jamais auparavant, maintenant vous en connaissez la raison, les statistiques parlent d’elles-mêmes. Il y aura davantage de vulnérabilités en 2023 et un pourcentage plus élevé se situeront à des niveaux élevés et critiques qui peuvent être exploités grâce à l’automatisation à grande échelle.

Cela signifie que tous les éditeurs doivent améliorer leur sécurité et s'assurer que quelqu'un prend la responsabilité d'auditer régulièrement leurs plugins et thèmes pour s'assurer qu'ils sont tous mis à jour et activement entretenus.

Les référenceurs devraient en tenir compte, car la sécurité devient rapidement un problème de classement lorsque Google supprime un site piraté des résultats de recherche. De nombreux référenceurs qui effectuent des audits de sites n'effectuent même pas les contrôles de sécurité les plus élémentaires, comme vérifier si les en-têtes de sécurité sont en place, ce que je fais dans le cadre de chaque audit que j'effectue. Assurez-vous toujours d’avoir une discussion avec les clients sur leur sécurité pour vous assurer qu’ils sont conscients des risques.

Patchstack est un exemple de service qui protège automatiquement les sites WordPress contre les vulnérabilités avant même que le plugin ne publie un correctif pour corriger la vulnérabilité. Ces types de services sont importants afin de créer une défense contre le piratage et la perte de visibilité et de revenus dans les recherches.

Lisez le rapport Patchstack :

État de la sécurité de WordPress en 2023

Image en vedette par Shutterstock/Iurii Stepanov

Categories: SEO

S’abonner
Notification pour
guest

Commentaires
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x