Lire le rapport annuel 2021 sur les vulnérabilités de WordPress
Publié: 2022-01-27En tant qu'utilisateur ou développeur WordPress, vous savez déjà que l'un des plus grands défis auxquels vous êtes confronté est de sécuriser entièrement votre site contre les vulnérabilités et la menace d'attaques malveillantes.
Dans un monde incertain où la sécurité des sites Web et en ligne est constamment attaquée, tous les propriétaires de sites WordPress doivent prendre leurs protocoles de sécurité plus au sérieux que par le passé.
Les données qui viennent d'être publiées dans notre tout premier rapport sur les vulnérabilités WordPress 2021 vous montrent non seulement l'année entière des vulnérabilités WordPress signalées en 2021, mais révèlent également les vulnérabilités spécifiques que les pirates exploitent le plus souvent.
Par exemple, saviez-vous que 97,1 % du total des vulnérabilités de WordPress en 2021 étaient dues à des plugins ? Il est important de savoir si l'exécution d'un site WordPress sécurisé est importante pour vous.
Chez iThemes, nous ne voulons pas simplement souligner les problèmes. Nous voulons également vous proposer des solutions éprouvées qui fonctionnent pour protéger votre site Web WordPress contre les vulnérabilités. Et vous saurez exactement quoi faire pour sécuriser complètement votre site WordPress après avoir examiné ces données.
Le plus gros plat à emporter de 2021 : Gardez un œil sur vos plugins WordPress
En 2021, 97,1 % de toutes les vulnérabilités de WordPress divulguées l'année dernière étaient dues à des problèmes avec les plugins. Vous avez bien lu.
Vulnérabilités 2021 par source
| Source de vulnérabilité | Nombre signalé | Pourcentage du total (1 628) |
|---|---|---|
| Noyau WordPress | 8 | 0,05 % |
| Plugins | 1581 | 97,1 % |
| Thème | 39 | 2,4 % |
Mais ce qui est le plus préoccupant, c'est que sur les 1581 vulnérabilités de plug-in signalées en 2021, 23,2 % d'entre elles n'avaient pas de correctif connu. Cela signifie qu'à mesure que nous avançons vers 2022 et au-delà, nous devons être d'autant plus vigilants sur les plugins que nous téléchargeons et utilisons.
Par exemple, bien que vous puissiez obtenir une solution de plug-in gratuite auprès d'un développeur de plug-in inconnu, faites-vous entièrement confiance à sa sécurité ? Comme le montrent les données, 29 % des vulnérabilités de plug-in signalées n'ont pas encore été corrigées par leurs développeurs.
Statut du plugin au moment de la divulgation
| Niveau de menace | Nombre signalé | Pourcentage du total (1 628) |
|---|---|---|
| Patché | 1156 | 71% |
| Pas de correctif connu | 377 | 23,2 % |
| Plug-in fermé | 95 | 5,8 % |
Dans la mesure du possible, restez avec les développeurs de plugins en qui vous avez confiance et n'utilisez jamais de plugins et de thèmes WordPress annulés. Et, bien sûr, gardez vos plugins et thèmes à jour avec les correctifs disponibles chaque fois qu'ils sont publiés.
Mais même lorsque vous faites cela, les vulnérabilités seront toujours exploitées par des pirates qualifiés et des attaquants malveillants avant que les développeurs de plugins ne puissent créer des correctifs pour les corriger.
C'est exactement pourquoi votre site WordPress a besoin d'une protection de sécurité à toute épreuve, comme nous le verrons dans une minute.
Pour l'instant, il est important de savoir que le plugin iThemes Security Pro dispose d'un scanner de site intégré qui s'associe à la fonction de gestion des versions pour rechercher automatiquement les vulnérabilités connues et mettre à jour automatiquement tous les plugins vulnérables afin que vous n'ayez pas à vous inquiéter autant. sur la sécurité de votre site.
Une énorme augmentation des vulnérabilités signalées en septembre 2021
Septembre a été le mois qui s'est démarqué des autres. En fait, septembre a vu 20,5 % du total des vulnérabilités signalées, soit 335 au total. Pour la perspective, le mois qui a vu le deuxième plus grand nombre de vulnérabilités était octobre, avec 173 signalés. Juillet n'est pas loin derrière avec 157 occurrences.
Vulnérabilités par plugin/thème/noyau individuel par mois (2021)
| Mois | Plugins | Thème | Coeur |
|---|---|---|---|
| Janvier | 19 | 0 | 0 |
| Février | 42 | 2 | 0 |
| Mars | 58 | 1 | 0 |
| Avril | 67 | 1 | 2 |
| Mai | 37 | 5 | 2 |
| Juin | 80 | 7 | 0 |
| Juillet | 157 | 7 | 0 |
| Août | 149 | 0 | 0 |
| Septembre | 335 | 3 | 1 |
| Octobre | 173 | 1 | 0 |
| Novembre | 120 | 0 | 0 |
| Décembre | 45 | 0 | 0 |
Bien qu'il ne soit certainement pas possible de savoir si un schéma similaire se produira à mesure que nous avancerons en 2022, il s'agit certainement de données importantes à surveiller.
Vulnérabilités par niveau de menace par mois (2021)
| Mois | Critique | Haute | Moyen | Bas |
|---|---|---|---|---|
| Janvier | 5 | 3 | 11 | 1 |
| Février | 25 | dix | 0 | 21 |
| Mars | 16 | 19 | 35 | 0 |
| Avril | 25 | 27 | 37 | 1 |
| Mai | 4 | 18 | 32 | 3 |
| Juin | 7 | 18 | 64 | 1 |
| Juillet | 8 | 65 | 120 | 9 |
| Août | 11 | 135 | 56 | 37 |
| Septembre | 19 | 174 | 156 | 38 |
| Octobre | 8 | 73 | 75 | 62 |
| Novembre | 9 | 46 | 53 | 22 |
| Décembre | 0 | 30 | 18 | 9 |
Les scripts intersites comme vulnérabilité de plugin la plus courante
Le cross-site scripting (XSS) est un type de vulnérabilité de sécurité de site Web que l'on trouve dans de nombreuses applications WordPress, telles que les plugins et les thèmes.
Ces attaques XSS permettent aux attaquants d'injecter des scripts côté client dans les pages Web WordPress consultées par d'autres utilisateurs. Une vulnérabilité de script intersite peut être utilisée par des attaquants pour contourner les contrôles d'accès et accéder entièrement à l'arrière-plan de votre site.
Les scripts intersites effectués sur les sites Web WordPress en 2021 représentaient 54,4 % de toutes les vulnérabilités de WordPress. Et c'était un total de 885 vulnérabilités totales.
| Niveau de menace | Nombre signalé | Pourcentage du total (1 628) |
|---|---|---|
| Script intersite (CSS) | 885 | 54,4 % |
| Demande de contrefaçon intersite (CSFR) | 167 | 10,2 % |
| Injections SQL | 152 | 9,3 % |
| Contournements | 68 | 4,2 % |
| Vulnérabilités RCE | 20 | 1,2 % |
| Vulnérabilités PHP | 19 | 1,2 % |
| Divulgations Var | 19 | 1,2 % |
| API REST | 11 | 0,7 % |
| Divulgation d'informations sensibles | 6 | 0,4 % |
| Tous les autres | 281 | 17,3 % |
Comme vous pouvez le constater, les scripts intersites sont un problème de sécurité majeur pour tous les propriétaires de sites WordPress. Mais les problèmes de vulnérabilité ne s'arrêtent pas là.
10,2 % supplémentaires, soit 167 vulnérabilités, provenaient de demandes de falsification intersites (CSFR).
La falsification de requête intersite, également connue sous le nom d'attaque en un clic ou d'équitation de session, est un type d'exploitation malveillante d'un site Web où des commandes non autorisées sont soumises par un utilisateur auquel l'application Web fait confiance.
Il ne faut pas longtemps pour voir que, sans les protocoles de sécurité WordPress appropriés en place, votre site Web WordPress est grand ouvert aux attaques intersites de toutes sortes.
Mais ce ne sont pas les seuls types de vulnérabilités dont vous devriez vous préoccuper. Au-delà d'eux, il existe sept types de vulnérabilités distincts qui ont été signalés en 2021.
Et ne rejetez pas les 281, soit 17,3 %, des vulnérabilités signalées qui sont étiquetées dans le rapport comme « Autre ».
Souvent, ces types d'attaques sont ceux qui ne sont pas encore compris par les développeurs de thèmes et de plugins, et nécessitent un puissant plugin de sécurité WordPress pour les empêcher d'endommager ou de pirater votre site.
Niveaux de menace de vulnérabilité en 2021
| Niveau de menace | Nombre signalé | Pourcentage du total (1 628) |
|---|---|---|
| Critique | 137 | 8,4 % |
| Haute | 630 | 38,7 % |
| Moyen | 678 | 41,6 % |
| Bas | 183 | 11,2 % |
Vulnérabilités du noyau et du thème de WordPress
En tant que propriétaire de site WordPress, vous connaissez probablement déjà l'importance de maintenir vos plugins à jour à tout moment pour éviter les attaques potentielles.
Après tout, la grande majorité des vulnérabilités sont exploitées via des plugins.
Mais, comme l'indiquent les chiffres de 2021, les plugins ne sont pas le point de départ et de fin de vos protocoles de sécurité. Même si vous êtes 100% vigilant avec les plugins que vous utilisez et que vous les maintenez à jour, votre site peut toujours être exploité par des vulnérabilités dans votre thème.
Il peut également être exploité via le logiciel de base WordPress. L'année dernière, nous avons vu un total de 47 vulnérabilités qui ont été exploitées via le noyau WordPress et divers thèmes. Ce nombre représente environ 2,5 % de toutes les vulnérabilités de sécurité de WordPress en 2021.
Et bien que cela puisse sembler peu, il suffit d'une vulnérabilité de site exploitée pour ruiner complètement la réputation de votre site Web et de votre entreprise.
Bien sûr, la première solution consiste à garder le noyau WordPress et votre thème entièrement corrigés et mis à jour à tout moment. Mais comme nous l'avons indiqué à propos des plugins, cela ne permet que de résoudre les vulnérabilités connues du passé.
Pour les nouveaux, vous devez exécuter un logiciel de sécurité capable de détecter les attaques malveillantes en temps réel.
Assurez-vous de garder la sécurité du site Web au centre de vos préoccupations en 2022
C'est là que le plugin iThemes Security Pro intervient pour aider à sécuriser votre site WordPress. Grâce à notre solution de sécurité WordPress simple et facile à utiliser, vous pourrez immédiatement mieux dormir la nuit en sachant que votre site est entièrement protégé contre les pirates et les attaques malveillantes.
La première étape consiste à comprendre le bombardement de menaces de sécurité que votre site subit constamment. Après cela, il est temps d'obtenir iThemes Security Pro et de prendre au sérieux le protocole de sécurité de votre site Web WordPress.
Avec un scanner de site WordPress intégré pour rechercher les vulnérabilités WordPress connues, associé à des couches de protection pour votre page de connexion comme la protection contre la force brute, ainsi qu'à la détection des modifications de fichiers et à la journalisation des utilisateurs, votre site dispose d'une solide défense contre les piratages et les failles de sécurité. .
Le meilleur plugin de sécurité WordPress pour Sécurise & Protéger Wordpress
Construit par les experts en sécurité WordPress depuis 2014
WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress.
