Sécurité WordPress basée sur des faits et des statistiques

Publié: 2022-12-12

WordPress est une cible courante pour les pirates malveillants en raison du grand nombre de personnes qui l'utilisent. Certaines estimations évaluent le nombre total de sites Web WordPress sur Internet à 455 millions. Cela signifie que WordPress exécute 43,1 % de tous les sites Web sur Internet.

Statistiques intéressantes

Il est difficile de savoir combien de sites Web sont piratés. Il y a plusieurs raisons à cela. Les incidents de piratage sont notoirement sous-déclarés. À moins que la loi ne les oblige à divulguer les incidents, de nombreux administrateurs et propriétaires de sites Web hésitent à le faire. Beaucoup ne savent pas qu'ils ont été piratés, ce qui rend impossible le signalement.

Avec ces mises en garde à l'écart, IT Governance - un fournisseur de solutions de gestion des cyber-risques et de la confidentialité, a signalé quelque 5,1 milliards (c'est-à-dire avec un B) de violations en 2021 seulement. Ce chiffre inclut toutes les infractions. En regardant un autre rapport, cette fois par Sophos, 30 000 sites Web (en moyenne) sont piratés quotidiennement. Cela équivaut à 11 millions de sites Web piratés par an. Nous savons que 43 % de tous les sites Web utilisent WordPress, ce qui nous permet de faire une estimation éclairée du fait que 4,7 millions de sites Web WordPress sont piratés chaque année. Cela représente près de 13 000 sites Web WordPress piratés chaque jour.

C'est un très grand nombre - ce qui soulève la question, pourquoi WordPress est-il autant piraté ? C'est exactement ce que nous allons examiner dans cet article - basé sur des faits et des statistiques.

WordPress – à quel point est-il vraiment sécurisé ?

WordPress est un projet open source sur lequel de nombreuses personnes du monde entier travaillent activement. La communauté WordPress est très forte et comprend certaines des personnes les plus intelligentes et les plus engagées que vous rencontrerez jamais. Avec autant de personnes impliquées et négligeant le processus de développement, WordPress a tendance à être très sécurisé.

La force de WordPress peut également être sa chute, comme les statistiques nous le montreront lorsque nous approfondirons la façon dont les sites Web WordPress sont piratés.

Les principales forces et faiblesses de WordPress

Aucun système n'est parfait, et cela s'applique également au noyau WordPress. Le noyau de WordPress représente les fichiers de base avant que toute modification (telle que les plugins, les thèmes et les configurations) ne soit effectuée. En fait, WordPress Core représentait 0,58 % de toutes les vulnérabilités en 2021 - selon le rapport de statistiques de piratage WordPress de Sucuri. Cela représente un peu plus de la moitié d'un pour cent de tous les incidents.

Viennent ensuite les thèmes et les plugins - dans cet ordre. En fait, les thèmes représentent 6,61 % de toutes les vulnérabilités, tandis que les plugins représentent un énorme 92,81 %.

Sucuri décompose en outre les thèmes et les plugins selon qu'ils sont gratuits ou premium. Alors que les thèmes et plugins premium représentent 8,62 % de toutes les vulnérabilités tierces, leurs homologues gratuits représentent 91,38 %.

Pourquoi les bons plugins coûtent de l'argent

Il y a plusieurs raisons pour lesquelles c'est le cas. Les plugins et les thèmes sont de toutes formes et tailles - des développeurs réputés aux plus louches. La vérité est que, lorsqu'il est bien fait, le développement de plugins n'est pas bon marché. Les développeurs professionnels à temps plein doivent être payés tout en maintenant de bonnes infrastructures, et les installations de test accumulent également les factures.

Cela ne veut pas dire que tous les plugins gratuits constituent une menace pour la sécurité, loin de là. De nombreux développeurs consacrent leur temps libre à produire des plugins gratuits de bonne qualité. Cependant, si vous voulez un plugin largement testé et pris en charge, un plugin premium est probablement la solution.

Vulnérabilités WordPress – les chiffres

Le nombre de vulnérabilités WordPress connues tend à augmenter chaque année. En fait, WPScan a ajouté 1 437 nouvelles vulnérabilités à sa base de données et 514 l'année précédente. Rien qu'en novembre 2022, 64 nouvelles vulnérabilités ont été ajoutées.

Compte tenu de la distribution des vulnérabilités dont nous avons discuté précédemment, ces chiffres tiennent compte du nombre de plugins WordPress disponibles. Le référentiel WordPress.org répertorie plus de 60 000 plugins disponibles au moment de la rédaction, avec d'autres ajoutés quotidiennement. Les plugins peuvent également être achetés directement auprès des développeurs ou téléchargés à partir de sources non officielles.

En raison du paysage de vulnérabilité WordPress en constante évolution, les attaques ciblées sont l'exception plutôt que la règle. Au fur et à mesure que les anciennes vulnérabilités sont corrigées et que de nouvelles sont introduites, les pirates peuvent avoir du mal à suivre. Cela rend également les attaques ciblées très chronophages, c'est pourquoi la plupart des attaques sont automatisées.

Les attaques automatisées utilisent l'utilisation d'un outil pour analyser automatiquement de nombreux sites Web, déclenchant des alertes chaque fois qu'une vulnérabilité est trouvée. Pour cette raison, la plupart des attaques sont aveugles plutôt que le résultat d'une rancune. Mais quels outils les pirates utilisent-ils pour de telles attaques automatisées ? Découvrons-le.

Comment les sites WordPress sont piratés

WordPress peut être piraté de différentes manières - les pirates peuvent être très créatifs pour s'attaquer aux cibles. Cela rend impossible et dangereux de répertorier toutes les façons dont un site Web WordPress peut être piraté, car cela peut donner un faux sentiment de sécurité. Cependant, nous pouvons examiner un exemple qui illustre le processus qu'un pirate peut généralement suivre pour pirater un site Web WordPress.

WPScan – Un scanner de vulnérabilité WordPress

wpscan
Interface WPScan : analyse de sécurité WordPress

Un outil commun souvent utilisé par les pirates s'appelle WPScan. C'est un outil gratuit qui est facilement disponible en ligne. Il s'agit d'un scanner de vulnérabilité qui analyse les sites Web WordPress et identifie les problèmes connus et les configurations non sécurisées. Lors du lancement d'une analyse de sécurité WordPress par défaut avec WPScan, vous découvrirez instantanément :

  • La version WordPress
  • Les plugins installés, leur version et le chemin où ils sont installés
  • Thèmes installés, leur version et le chemin où ils sont installés

WPScan inclut d'autres fonctions, telles que les analyses d'énumération d'utilisateurs WordPress. Ces analyses identifient et énumèrent tous les utilisateurs enregistrés sur un site Web WordPress, donnant aux pirates un aperçu du fonctionnement de votre WordPress. Armé de ces informations, le pirate peut alors lancer une attaque secondaire, telle qu'une attaque par force brute de mot de passe WordPress pour accéder à votre système.

Ici, il est important de noter pourquoi la sécurité du mot de passe WordPress est si cruciale pour la sécurité globale de votre site Web WordPress. Un mot de passe faible facilite la percée d'une attaque par force brute. De même, il est important de s'assurer que tous les comptes utilisent des mots de passe forts. Un compte de contributeur compromis peut ne pas être en mesure d'infliger beaucoup de dégâts, mais grâce à l'élévation des privilèges sur un site Web compromis, un attaquant peut obtenir des privilèges administratifs pour faire des ravages.

Pourquoi les hackers piratent

Une fois qu'un mauvais acteur a réussi à accéder à votre site Web WordPress, il peut prendre plusieurs mesures, telles que :

  • Créer un nouveau compte avec des privilèges d'administrateur
  • Réinitialisez le mot de passe des comptes existants pour vous assurer que les autres utilisateurs ne peuvent pas retrouver l'accès à leur WordPress
  • Modifier le rôle d'un compte inactif existant
  • Modifier le contenu pour lui injecter du code malveillant
  • Altérer les fichiers de code source de WordPress pour ajouter du code malveillant, comme des portes dérobées
  • Ajouter des redirections dans les fichiers htaccess

Protéger votre WordPress des attaques

Comme nous l'avons vu, les mauvais acteurs peuvent adopter plusieurs approches pour violer un site Web WordPress. Il va donc de soi que la sécurisation d'un site Web WordPress nécessite une approche plus holistique que de simplement s'assurer que les utilisateurs ont un mot de passe.

  • Recherche - Que vous recherchiez un fournisseur d'hébergement WordPress ou un nouveau plugin, assurez-vous de prendre le temps de les vérifier avant. Les forums peuvent vous aider à avoir un aperçu rapide de ce que les clients pensent des produits ou des services, tandis que les plugins doivent avoir des mises à jour fréquentes et un excellent support client.
  • Test – Choisir le meilleur plugin pour votre WordPress ne doit pas être un jeu de devinettes. La plupart des fournisseurs de plugins réputés proposent un essai gratuit de leurs plugins premium. Cela vous permet de les tester avant de vous engager.

Une fois que vous avez compris votre configuration, vous devrez vous assurer qu'elle est correctement configurée pour une sécurité maximale. La configuration d'un WordPress sécurisé n'est pas un travail ponctuel mais un processus continu qui comprend :

  • Mots de passe forts – Une politique de mots de passe WordPress forte peut vous aider à vous assurer que les attaques par force brute s'épuisent avant qu'elles ne réussissent. Utilisez un mélange sain de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Définissez également une politique d'expiration des mots de passe pour vous assurer que les mots de passe sont fréquemment modifiés.
  • 2FA - 2FA, abréviation de l'authentification à deux facteurs, ajoute une couche d'authentification supplémentaire à votre connexion WordPress. Lors de l'utilisation de 2FA, même si une attaque par force brute réussit, sans accès à votre smartphone, les pirates ne pourront pas se connecter.
  • Mise à jour – Gardez WordPress, les plugins et les thèmes à jour à tout moment. La mise en œuvre des mises à jour WordPress peut se faire de différentes manières, comme le montre cette récente enquête. Cela peut vous aider à équilibrer les exigences administratives et de sécurité sans transpirer.
  • Surveiller - Gardez un œil sur l'activité des utilisateurs et du système avec un plugin de sécurité tel que WP Activity Log. Cela vous aidera à identifier rapidement les comportements suspects et à les arrêter avant que des dommages ne soient causés.

Cette liste n'est en aucun cas exhaustive, mais c'est un bon point de départ. La sécurité de WordPress est un sujet en constante évolution, qui nécessite un entretien constant. Suivre un blog de sécurité WordPress est un moyen de rester à jour et quelque chose que vous pouvez lire en sirotant votre café du matin.

Sécuriser WordPress

La sécurité de WordPress est un cycle plutôt qu'un processus avec un début et une fin. Il nécessite une attention et des ajustements constants pour répondre à l'évolution des menaces. Bien que cela puisse sembler être trop de travail, comme c'est souvent le cas, l'entretien vaut mieux que la réparation. En consacrant quelques heures chaque mois, vous pouvez réduire considérablement les risques de sécurité, vous aidant ainsi à assurer la croissance continue de votre site Web.