Sécurité Wordpress - Livre blanc Patchstack : Vulnérabilités de l'écosystème WordPress (2021)

Le livre blanc de la société Patchstack, une entreprise spécialisée dans la cybersécurité et spécialiste dans la sécurité WordPress , a révélé que près de 30% des bugs critiques dans les extensions WordPress ne sont jamais corrigés.

Ce livre Blanc analyse les menaces qui pèsent sur l’écosystème de WordPress, en particulier sur les plugins et les thèmes du CMS utilisés par 43,2 % des sites web en 2021 (vs 39,5 % en 2020). Le rapport s’appuie sur les données issues de sa base de vulnérabilités, la Patchstack Alliance, ainsi que les signalements publics. Au total, l’éditeur a analysé 50 000 sites et vérifié la sécurité des plugins et thèmes installés.

• En 2021, la société a constaté une augmentation de 150% des vulnérabilités reportées par rapport à l'année précédente.
• Le noyau WordPress a connu des améliorations durant l'année 2021 avec 4 versions de sécurité. L’une de ces 4 versions contenait un correctif pour une vulnérabilité critique, qui vient d’un composant Open Source “La bibliothèque PHPMailer”
• Sur l'ensemble des failles identifiées, 91% proviennent de plugins gratuits, tandis que les extensions payantes / premium semblent offrir un service de sécurité supplémentaire.
• 35 vulnérabilités exploitées l'année dernière dans les extensions WordPress, 2 d'entre elles ont exposé à elles seules 4 millions de sites web (les plugins "OptinMonster" et "All in One SEO").
• De plus, 42 % des sites WordPress ont installé au moins un composant (thème ou plugin) vulnérable au cours de l’année dernière.
• 55 thèmes présentaient l’an dernier des problèmes de sécurité liés aux fonctionnalités de téléchargement de fichiers. Ceci est un problème récurrent lié au fait que les thèmes incluent généralement un code personnalisé pour la fonctionnalité de téléchargement de fichiers.

L'étude révèle également que la faille de sécurité la plus exploitée auprès des sites WordPress en 2021 est de loin (50%) celle du cross-site scripting (XSS), qui permet d'injecter du contenu dans une page et de provoquer des actions sur les navigateurs qui affichent cette page.

L’entreprise Patchstack précise par ailleurs que les vulnérabilités faciles à installer constituent des cibles de premier choix pour les attaquants, tout comme les anciennes failles déjà détectées, et ce même depuis plusieurs années.

Dans ces cas où aucun correctif n’est disponible, les utilisateurs et administrateurs des sites web doivent vérifier manuellement s’ils ont installé ces plugins et les supprimer ou trouver des alternatives. Il n’existe aucun moyen de communiquer ce problème directement aux propriétaires de sites web exécutant ces plugins, car ils apparaîtront « à jour » dans les pages d’administration de WordPress s’ils sont installés.