Les statistiques mettent en évidence la plus grande source de vulnérabilités WordPress

Publié: 2020-10-08

Nous savons tous que de nombreux sites WordPress sont piratés chaque année. Est-ce parce que WordPress est un système non sécurisé ? S'agit-il d'un problème WordPress mondial ou provient-il des actions de ces webmasters ? Comment et pourquoi cela se passe-t-il ?

Que vous exploitiez un blog personnel, un site Web professionnel ou un site de commerce électronique sur WordPress, la sécurité de votre site Web doit être une priorité. Il peut y avoir de nombreuses raisons pour lesquelles la sécurité de votre site est compromise. Les raisons les plus courantes sont les mots de passe faibles, les erreurs des utilisateurs, les logiciels obsolètes et les mises à jour de sécurité manquantes.

Dans cet article, nous utilisons les dernières statistiques de la base de données de vulnérabilités WPScan pour mettre en évidence les composants WordPress les plus vulnérables et pour souligner l'importance d'exécuter des logiciels à jour et d'installer les correctifs de sécurité nécessaires.

Vous pouvez également trouver des statistiques et des faits intéressants sur les vulnérabilités de WordPress, ainsi que quelques recommandations. Plongeons dedans.

Table des matières

  • Qu'est-ce que la base de données des vulnérabilités WPScan ?
  • Vue d'ensemble des vulnérabilités de WordPress, plugins et thèmes
    • Pourquoi y a-t-il tant de vulnérabilités principales de WordPress ?
    • Type de vulnérabilités dans le noyau WordPress, les plugins et les thèmes
    • Statistiques des vulnérabilités du cœur de WordPress
    • Top 10 des plugins WordPress les plus vulnérables
    • Top 10 des thèmes WordPress les plus vulnérables
  • Que nous disent ces vulnérabilités WordPress ?
  • Comment garantir la sécurité de WordPress (meilleures pratiques de sécurité)

Qu'est-ce que la base de données des vulnérabilités WPScan ?

Avant de plonger dans les statistiques, expliquons d'où nous avons tiré ces chiffres. Toutes les données sont extraites de la base de données de vulnérabilité WPScan, une version navigable en ligne des fichiers de données de WPScan.

WPScan est un scanner de sécurité de boîte noire WordPress open source automatisé. Ce scanner utilise ces données pour détecter les vulnérabilités connues du noyau WordPress, des plugins et des thèmes dans les sites Web WordPress.

À ce jour, la base de données de vulnérabilités WPScan contient 21 755 vulnérabilités, dont 4 154 sont des vulnérabilités uniques.

Vue d'ensemble des vulnérabilités de WordPress, plugins et thèmes

Selon la base de données de vulnérabilités WPScan, environ 80 % des vulnérabilités connues qu'ils ont enregistrées se trouvent dans le logiciel principal de WordPress. Mais voici le kicker - les versions avec le plus de vulnérabilités sont toutes de retour dans WordPress 3.X.

Jusqu'à présent, il y a 17 467 vulnérabilités logicielles principales de WordPress dans la base de données de vulnérabilités WPScan. Ensuite, il y a 3 846 (17 %) vulnérabilités du plugin WordPress et 442 (3 %) vulnérabilités des thèmes WordPress.

Vulnérabilités logicielles de base de WordPress dans la base de données de vulnérabilités WPScan.

Pourquoi y a-t-il tant de vulnérabilités principales de WordPress ?

Le nombre de vulnérabilités dans le noyau WordPress est gonflé dans la base de données des vulnérabilités en raison des nombreuses versions de WordPress. Vous trouverez ci-dessous une explication de la raison pour laquelle cela se produit ;

Une vulnérabilité de script intersite a été trouvée dans un composant de WordPress version 5.4.2. Ce composant est utilisé dans WordPress depuis la version 3.7. Par conséquent, toutes les versions précédentes de WordPress sont également vulnérables.

Par conséquent, dans la base de données de vulnérabilités WPScan, il y aura une vulnérabilité unique et 256 vulnérabilités !

Donc, le noyau de WordPress en tant que tel n'est pas dangereux. Il est très important de souligner que le cœur de WordPress a parcouru un très long chemin et qu'il s'agit d'un logiciel bien meilleur et plus sécurisé qu'il ne l'a jamais été.

Type de vulnérabilités dans le noyau WordPress, les plugins et les thèmes

Les types de vulnérabilités les plus populaires dans le noyau, les plugins et les thèmes de WordPress sont les scripts intersites et l'injection SQL.

Ce n'est pas surprenant étant donné que ces 2 vulnérabilités ont été répertoriées dans la liste OWASP Top 10 des problèmes de sécurité Web les plus courants depuis sa création.

Types de vulnérabilités

Statistiques des vulnérabilités du cœur de WordPress

Le graphique ci-dessous met en évidence les 10 versions principales de WordPress les plus vulnérables, avec les versions 3.7.1 et 3.8.1 en tête du peloton avec 92 vulnérabilités chacune. En deuxième position, avec 91 vulnérabilités, se trouve WordPress version 3.9.

Top 10 des principales vulnérabilités de WordPress

Cependant, depuis lors, WordPress est définitivement devenu plus sécurisé. Jetons un coup d'œil au nombre de vulnérabilités dans les 5 dernières versions de WordPress. Comme vous pouvez le voir, la différence est assez grande.

Tour d'horizon des vulnérabilités dans les dernières versions de WordPress

Top 10 des plugins WordPress les plus vulnérables

Voici quelques faits sur les 10 plugins WordPress les plus vulnérables :

NextGEN Gallery, NinjaForms et WooCommerce sont en tête du peloton avec 22 vulnérabilités chacun.

Top 10 des plugins les plus vulnérables

Nous avons été surpris de voir All In One WP Security & Firewall, un plugin de sécurité WordPress dans le Top 10 des plugins WordPress les plus vulnérables. Je ne dis pas que ces plugins sont à l'épreuve des balles. Bien que je m'attende à ce qu'un plugin écrit par des spécialistes de la sécurité ait moins de vulnérabilités, ou du moins ne soit pas dans la liste des 10 meilleurs.

Top 10 des thèmes WordPress les plus vulnérables

Le graphique ci-dessous met en évidence les 10 thèmes WordPress les plus vulnérables. Le plus élevé n'a que 5 vulnérabilités sous son nom.

Top 10 des thèmes les plus vulnérables dans WordPress

Les thèmes ont tendance à avoir beaucoup moins de vulnérabilités que les plugins car ils font beaucoup moins en termes de fonctionnalités. Par exemple, alors que la plupart des plugins gèrent les données, les entrées des utilisateurs et manipulent les données des utilisateurs, les thèmes modifient principalement l'apparence des sites Web WordPress.

Que nous disent ces vulnérabilités WordPress ?

Les gens adorent WordPress en raison de la vaste gamme de plugins et de thèmes disponibles. Au moment d'écrire ces lignes, il existe plus de 57 000 plugins et plus de 7 000 thèmes sur le référentiel WordPress, et des milliers de premium supplémentaires dispersés sur le Web.

Bien que toutes ces options soient excellentes pour améliorer votre site, vous devriez toujours faire une petite recherche avant d'installer un plugin ou un thème sur votre site WordPress. Bien que la plupart des développeurs WordPress fassent un bon travail en suivant les normes de code et en corrigeant les problèmes de sécurité signalés une fois qu'ils sont connus, il reste encore quelques problèmes potentiels :

  • Le plugin ou le thème n'est plus maintenu,
  • Les développeurs mettent beaucoup de temps à publier un correctif de sécurité ou ne répondent pas,
  • Un plugin ou un thème a une vulnérabilité, cependant, car il n'y a pas beaucoup d'attention sur cette vulnérabilité qui n'est pas détectée.

Reportez-vous à comment choisir le meilleur plugin WordPress pour vos besoins pour plus de détails à ce sujet et comment déterminer si un plugin est un bon choix pour votre site WordPress.

Alors, quel est le plat à emporter?

Bref, gardez tous vos logiciels à jour !

WordPress est l'un des CMS les plus populaires au monde, et si vous suivez les meilleures pratiques de sécurité et que vous le maintenez à jour, il est très peu probable que votre site Web rencontre des problèmes.

Ces statistiques de vulnérabilités WordPress sont-elles exactes ?

Ces statistiques sont basées sur les informations stockées dans la base de données de vulnérabilité WPScan. Bien qu'il soit fréquemment mis à jour, il n'est en aucun cas complet.

Il existe de nombreux autres plugins et thèmes WordPress vulnérables qui ne sont pas répertoriés ici. Cependant, cela nous donne un bon aperçu de l'état des vulnérabilités de WordPress.

Soumettre les vulnérabilités connues de WordPress

L'équipe WPScan encourage tous ceux qui connaissent les vulnérabilités du noyau, du plugin ou du thème de WordPress à leur soumettre les détails.

Avant de soumettre une nouvelle vulnérabilité, effectuez une recherche dans la base de données pour vous assurer que le problème n'a pas été soumis auparavant. Cela nous assurera d'avoir une source d'information centralisée et fiable.

Comment garantir la sécurité de WordPress (meilleures pratiques de sécurité)

Maintenant que nous avons couvert toutes les vulnérabilités potentielles et connues, examinons les différentes façons de sécuriser votre site Web.

La première chose est de mettre régulièrement à jour votre version de WordPress. Vous devriez certainement développer la pratique de la mise à jour de votre version de WordPress et aussi, n'oubliez pas de mettre à jour vos plugins et vos thèmes.

Voici quelques actions supplémentaires que vous pouvez faire pour sécuriser votre site WordPress :

  • Évitez d'utiliser des mots de passe communs

Lorsque vous avez un mot de passe fort, toute tentative de piratage peut être évitée ou du moins retardée.

  • Configurer une connexion d'authentification à deux facteurs

Toute personne souhaitant se connecter à votre site Web WordPress devra franchir une étape supplémentaire avant d'accéder à votre compte.

  • N'utilisez pas de plugins et de thèmes annulés

Cela tente presque tout le monde, mais ces copies gratuites de plugins et de thèmes premium sont le plus souvent chargées de logiciels malveillants. Soutenez les développeurs des plugins que vous utilisez en achetant l'édition premium. Cela permet de développer davantage le produit, d'ajouter de nouvelles fonctionnalités et de le sécuriser.

  • Utiliser les plugins de sécurité WordPress

De nos jours, il existe une grande variété de plugins de sécurité créés pour protéger votre site Web contre diverses attaques. Les meilleurs sont mis à jour régulièrement, ce qui les rend capables de détecter toute tentative de piratage et tout ajout à votre code. Nous développons un certain nombre de plugins de sécurité et de gestion de site WordPress. Vérifie-les!

Envelopper

La sécurisation de votre site web est super essentielle. Avoir une vision claire des menaces et des outils que vous pouvez utiliser pour faire face aux attaques potentielles est crucial. Votre première priorité devrait être d'avoir et de maintenir un site Web sécurisé.

En raison de sa popularité, WordPress est une cible importante pour les pirates. C'est pourquoi vous devez faire un effort supplémentaire pour assurer la sécurité de votre site. Un site sécurisé renforcera sûrement la confiance de vos clients potentiels et, par conséquent, contribuera à la croissance de votre entreprise.

Protégez votre site Web et restez en sécurité !