Le nombre de vulnérabilités découvertes dans WordPress devrait augmenter de 150 % d’ici 2021

Web

Analyse

State of WordPress Security in 2021 est un nouveau livre blanc publié par Patchstack, une société de cybersécurité. Il examine les menaces auxquelles est confronté l’écosystème WordPress, en se concentrant sur les plugins et les thèmes du CMS qui alimentera 43,2 % des sites Web en 2021 (contre 39,5 % en 2020). Le rapport s’appuie sur les données de sa base de données de vulnérabilités, Patchstack Alliance, qui correspond au programme de récompense des bugs de l’éditeur et aux alertes publiques. L’éditeur a vérifié la sécurité des plugins et des thèmes sur 50 000 sites.

Les faits les plus importants à retenir sont :

  • En 2021, 1500 nouvelles vulnérabilités ont été découvertes dans les plugins, les thèmes et le noyau de WordPress, ce qui représente une augmentation de 150 % par rapport à l’année précédente.
  • Parmi celles-ci, 91,79 % provenaient directement du répertoire de plugins et de thèmes de WordPress.org, les 2,81 % restants provenant de marchés de plugins et de thèmes premium comme Envato, ThemeForest et CodeCanyon.
  • Pour WordPress, les thèmes et les plugins représentaient 99,42 % de toutes les vulnérabilités découvertes (contre 96,22 %). Environ 92,81 % concernaient des modules complémentaires, tandis que seulement 6,61 % concernaient des idées récurrentes.
  • La grande majorité (91,38 %) des plugins vulnérables étaient disponibles sous forme de modules complémentaires gratuits.
  • Près de la moitié (49,82 %) des vulnérabilités étaient liées au XSS (Cross-site Scripting).
  • Au moins un composant WordPress vulnérable (thème ou plugin) était installé sur 42 % des sites l’année précédente.

En 2021, nous avons trouvé 6 composants obsolètes sur 18 sur un seul site WordPress. La probabilité d’exposer un site web à une vulnérabilité augmente avec le nombre de plugins qu’il utilise. Le fait que les sites web soient souvent mis à jour augmente encore le danger. En outre, Patchstack précise que les vulnérabilités facilement installées sont des cibles d’attaque de choix, tout comme les vulnérabilités connues de longue date qui ont été corrigées depuis des années. Cela pourrait être dû à la prévalence des outils de piratage en ligne. Il suffit au pirate de choisir un site Web cible pour que l’outil tente automatiquement d’attaquer toutes les vulnérabilités courantes (ou une liste de cibles).

A lire aussi: Mise à jour du logo Twitter

Trente-cinq vulnérabilités critiques ont été découvertes dans des plugins WordPress.

Nous trouvons deux modules complémentaires populaires, chacun ayant été téléchargé plus d’un million de fois, parmi les 35 vulnérabilités critiques signalées dans les plugins WordPress en 2021 :

  • Plus de trois millions de copies de All in One SEO 4.1.5.2 ont été téléchargées jusqu’à présent.
  • Le plugin WordPress WP Fastest Cache (version 0.0.4) a été téléchargé plus d’un million de fois.

Si les deux plugins en question ont reçu un patch de sécurité pour corriger la faille, il n’en va pas de même pour 29 % des plugins et thèmes WordPress qui ont présenté des vulnérabilités critiques en 2017. Les utilisateurs devront vérifier manuellement s’ils ont installé ces plugins, les désinstaller si c’est le cas, ou chercher des alternatives si un correctif n’est pas encore disponible. Comme ces plugins s’afficheront simplement comme « à jour » dans les pages d’administration de WordPress, il n’y a aucun moyen d’informer directement les propriétaires de sites qui les utilisent du problème.

Il existe des vulnérabilités critiques dans 55 sujets différents

Le livre blanc affirme que 55 problèmes de sécurité distincts liés aux fonctions de téléchargement de fichiers ont été signalés au cours de l’année précédente. Patchstack les a classés selon le score CVSS (Common Vulnerability Scoring System), qui est indiqué par une note sur 10. Il s’agit d’un critère objectif et mesurable pour évaluer la gravité des vulnérabilités.

  • Le système CVSS (Common Vulnerability Scoring System) attribue une note de 10 sur 10 en ce qui concerne le nombre de vulnérabilités causées par le téléchargement de fichiers inconnus sans authentification ni configuration appropriées.
  • Un thème est vulnérable à une faille d’exécution de code à distance en raison d’un défaut de téléchargement non identifié, tandis qu’un autre thème est vulnérable à une faille d’injection SQL (Blind SQLi) en raison de l’absence d’authentification appropriée. Le score CVSS pour ces deux failles est de 9,8 sur 10.
  • Il existe 42 thèmes vulnérables qui permettent le téléchargement de fichiers arbitraires (CVSS 8.8/10) et 1 thème vulnérable qui utilise le Cross-Site Scripting (XSS) sans authentification (CVSS 8.8/10).

Les fonctions de gestion des fichiers téléchargeables des thèmes WordPress ont montré une tendance inquiétante de vulnérabilités critiques tout au long de 2021. Ce n’est pas un tout nouveau développement, mais c’est un problème persistant puisque la plupart des thèmes utilisent également une sorte de code personnalisé pour la fonctionnalité de téléchargement de fichiers. Patchstack recommande aux propriétaires et aux développeurs de sites WordPress de faire plus que télécharger les correctifs de sécurité et mettre à jour les thèmes en « empêchant l’exécution des fichiers PHP dans les répertoires de téléchargement » à l’aide d’outils tels que le fichier .htaccess, les règles Nginx ou un pare-feu d’application Web (WAF). Vous pouvez également empêcher l’accès aux URL qui se terminent par « .php » et qui ont le mot « upload » dans leur structure. L’auteur explique : « C’est une précaution plutôt saine à mettre en œuvre puisque les téléchargements sur les sites web sont censés correspondre à des médias comme des photos, des vidéos ou des fichiers PDF, mais pas à du code PHP. »

La faiblesse de l’éducation et du financement nuit à la sécurité des sites WordPress

Dans une enquête menée auprès de développeurs indépendants (27 %), de propriétaires de sites Web (13 %) et d’agences de publicité (43 %), Patchstack a constaté que 53 % des personnes interrogées mettaient à jour leur installation WordPress au moins une fois par semaine, que 20 % le faisaient quotidiennement et que 18 % le faisaient mensuellement. Les autres participants à l’enquête n’ont pris aucune mesure pour améliorer la sécurité de leur site Web ou se sont uniquement appuyés sur les mises à jour automatiques. La grande majorité d’entre eux gèrent eux-mêmes les problèmes de sécurité, font appel à leur hébergeur ou contactent directement l’équipe d’assistance du plugin. Lorsqu’on leur a demandé quelle part de leur budget mensuel ils allouaient à la sécurité de leur site WordPress, 28 % des personnes interrogées ont répondu qu’elles ne dépensaient rien du tout, tandis que 27 % ont déclaré dépenser entre 1 et 3 dollars. Le coût mensuel moyen pour 7 % de ces sites est de 50 dollars. L’étude a également révélé que d’ici 2021, le coût moyen de la suppression d’un logiciel malveillant atteindra 613 dollars, avec une fourchette allant de 50 à 4807 dollars.