En 2021, Patchstack a ajouté près de 1500 nouvelles vulnérabilités à la base de données Patchstack. Ces vulnérabilités concernaient les plugins WordPress, les thèmes et le noyau WordPress.

Si vous comparez ces chiffres avec ceux de 2020 où nous avons vu près de 600 nouvelles vulnérabilités, il est clair que 2021 a été une année exceptionnelle pour la sécurité de l’écosystème WordPress.

Le référentiel WordPress.org ouvre la voie en tant que source principale pour les plugins et thèmes WordPress. Les vulnérabilités de ces composants représentaient 91,79 % des vulnérabilités ajoutées à la base de données Patchstack.

Les 8,21 % restants des vulnérabilités signalées en 2021 ont été signalées dans des versions premium ou payantes des plugins ou thèmes WordPress qui sont vendus sur d’autres marchés comme Envato, ThemeForest, Code Canyon, ou mis à disposition pour téléchargement direct uniquement.

En 2020, nous avons constaté que 96,22 % des vulnérabilités provenaient de plugins et de thèmes. En 2021, ce nombre augmente à 99,42 %.

Scripts intersites (XSS) très répandus

Les vulnérabilités de script intersite (XSS) ont une fois de plus été en tête des graphiques en 2021, représentant près de 50 % du total des vulnérabilités ajoutées à la base de données Patchstack en 2021. Par rapport à 2020 – les vulnérabilités XSS représentaient un peu plus de 36 %, en 2021, nous constatons une augmentation des vulnérabilités de script intersites.

En comparant 2020 et 2021, nous voyons que CSRF et SQLi ont changé de place. SQL Injection a compté 9,1 % des vulnérabilités en 2020 et Cross-Site Request Forgery est arrivé en troisième position avec 6,5 % des vulnérabilités en 2020.

CVSS (3.1) est un excellent moyen de calculer la gravité de la vulnérabilité et il est plus facile de montrer le niveau de risque posé par la vulnérabilité sans écrire une explication générale. C’est pourquoi nous essayons de calculer le score CVSS (3.1) pour toutes les vulnérabilités que nous publions sur la base de données.

Vous verrez un score CVSS avec chaque vulnérabilité enregistrée dans la base de données Patchstack. Dans la mesure du possible, nous essayons également d’ajouter un contexte spécifique à l’application. Par exemple : avec les composants WordPress, nous clarifions quels rôles d’utilisateur par défaut seraient nécessaires pour effectuer l’attaque, ce que CVSS ne couvre pas.

Ces informations apparaissent sous la forme d’une instruction telle que « Nécessite une authentification de l’abonné ou de l’utilisateur de rôle supérieur. » sur la page de description de la vulnérabilité.

Il est important de comprendre le contexte du risque de vulnérabilité. Sans cela, vous pourriez finir par stresser inutilement et effectuer des mises à jour d’urgence lorsque le risque n’est tout simplement pas présent, ou pire encore, ignorer ou retarder la résolution d’une vulnérabilité parce qu’elle semble « risque moyen » alors qu’en fait, vos sites Web sont exposés à un risque immédiat en fonction du contexte.

La criticité des vulnérabilités nouvellement signalées ajoutées à la base de données Patchstack en 2021 variait de Moyenne (3/4 de tous les rapports), en passant par Élevée (1/5 de tous les rapports) et Critique (près de 1/25 de tous les rapports) en 2021, avec très peu de rapports de faible gravité (près de 1/50).

Moins de plugins sont utilisés alors que plus d’entre eux sont obsolètes

Patchstack offre une protection pour les sites WordPress depuis des années. En regardant les utilisateurs de Patchstack, nous voyons des informations importantes sur la façon dont nos utilisateurs gèrent la sécurité.

En 2021, nous avons analysé environ 50 000 sites et examiné le nombre d’installations de plugins et de thèmes. Nous avons constaté qu’en moyenne, un seul site WordPress a 18 composants différents (plugins et thèmes) installés.

En le comparant à 2020 où nous avons constaté qu’un site web moyen avait 23 plugins et thèmes installés sur un seul site. Il montre une amélioration jusqu’à ce que nous comparions le nombre moyen de plugins et de thèmes obsolètes sur un site.

En moyenne, 42 % des sites WordPress ont au moins 1 composant vulnérable installé.

En 2020, nous avons vu 4 composants sur 23 obsolètes et en 2021, nous avons vu 6 composants sur 18 obsolètes sur un seul site WordPress. Avec chaque plugin supplémentaire installé sur le site web, le risque d’être exposé à une vulnérabilité potentielle augmente. Le fait que les sites web soient à la traîne avec les mises à jour augmente encore plus le risque.

Les vulnérabilités faciles à exploiter restent les principales cibles

Typiquement, seules les vulnérabilités faciles à exploiter sont ciblées. Les vulnérabilités qui ont plus de conditions préalables à une exploitation réussie ne sont généralement pas utilisées dans les campagnes d’exploitation de masse.

Les vulnérabilités que nous voyons être armées dans les campagnes d’exploitation de masse ne nécessitent aucune authentification. Vous trouverez ci-dessous une liste des types de vulnérabilités qui sont les plus attrayants pour les attaquants.

De telles vulnérabilités permettent d’injecter du HTML, ou dans de nombreux cas un fichier JavaScript d’un site malveillant tiers, qui redirigera les utilisateurs vers un autre site ou injectera des publicités.

De telles vulnérabilités permettent de créer un compte administrateur en tant qu’invité. Après cela, un attaquant se connectera à ce compte administrateur et téléchargera un plugin malveillant qui lui permettra d’accéder au système de fichiers du site afin qu’il puisse plus facilement télécharger des portes dérobées et injecter des publicités.

De telles vulnérabilités permettent d’activer les enregistrements et de définir le rôle par défaut sur administrateur. Il permet également de changer l’URL du site en autre chose afin que tous les visiteurs soient redirigés vers cette URL malveillante.

Être capable d’exécuter du code, tel que n’importe quel code PHP arbitraire, est également idéal pour un utilisateur malveillant. Ils peuvent télécharger une porte dérobée de cette façon pour accéder facilement au système de fichiers du site web.

Ces types de vulnérabilités, en particulier celles des plugins populaires, sont souvent exploités dans les heures qui suivent la divulgation de la vulnérabilité au public.

Les anciennes vulnérabilités restent ciblées

Lorsque vous regardez les statistiques des correctifs virtuels Patchstack pour voir quelles vulnérabilités ont été les plus activement ciblées, certaines vulnérabilités critiques qui remontent à des années sont toujours activement ciblées.

Cela peut s’expliquer par l’utilisation d' »outils de piratage » disponibles en ligne. De tels outils sont préprogrammés pour tenter tous les exploits et les vulnérabilités populaires contre une cible, et tout ce que le pirate a à faire est de sélectionner un site Web cible (ou une liste de cibles).

Vous trouverez ci-dessous une liste des principales vulnérabilités qui sont les plus attaquées quotidiennement.

Top 4 des vulnérabilités attaquées (à partir de 2021)

OptinMonster <= 2.6.4

API REST non protégée à la divulgation d’informations sensibles et à l’accès non autorisé à l’API

Capacités de PublishPress <= 2,3

Paramètres non authentifiés Modifier la vulnérabilité

Booster pour plugin WooCommerce <= 5.4.3

Vulnérabilité de contournement de l’authentification

Plugin Image Hover Effects Ultimate <= 9.6.1

Mise à jour des options arbitraires non authentifiées

12 850 $ à des pirates éthiques pour sécuriser les plugins

Patchstack Alliance est une plate-forme de chasse aux bogues qui met en relation des pirates éthiques avec des fournisseurs open source pour améliorer la sécurité du web open source. Patchstack Alliance compte des membres d’Allemagne, de France, de Russie, du Portugal, du Brésil, du Vietnam, de Colombie, des Pays-Bas, d’Inde, d’Estonie, de Lituanie, du Myanmar, de Thaïlande, de Malaisie, de Chine, d’Indonésie.

En 2021, Patchstack a payé 12 850,00 USD en primes. Depuis avril 2021, nous avons reçu plus de 1000 rapports de vulnérabilité de la part des membres de l’Alliance.

Le plus grand nombre de points/paramètres vulnérables trouvés dans un seul plugin était de 47. Nous avons accepté des rapports qui ont affecté les plugins avec moins de dix installations actives et aussi ceux avec plus de 5 millions d’installations actives. Les vulnérabilités les plus populaires rapportées par les membres de Patchstack Alliance sont XSS et CSRF.

La première année a prouvé un vif intérêt pour le programme de la part de pirates éthiques, de fournisseurs open source et aussi de partenaires tels que des sociétés d’hébergement.

Si vous souhaitez vous impliquer ou si vous souhaitez soutenir l’initiative, veuillez nous contacter.

Sensibilisation accrue aux vulnérabilités

À la fin de 2021, Patchstack a mené un sondage auprès des développeurs de sites Web, des propriétaires de sites Web et des agences numériques. Le but de l’enquête était de comprendre comment s’est passée l’année 2021 en ce qui concerne la sécurité de WordPress.

Économisez du temps et de l’argent en activant les mises à jour automatiques pour les plugins et les thèmes vulnérables avec Patchstack.

Voir toutes les caractéristiques

Lorsqu’ils ont demandé aux répondants à qui ils comptent pour obtenir de l’aide sur la sécurité du site Web, la majorité ont déclaré qu’ils traitent des problèmes de sécurité principalement par eux-mêmes, tout en comptant sur leur fournisseur d’hébergement ou sur l’équipe de support d’un plugin de sécurité.

Dans WordPress, les mises à jour de sécurité sont une tâche très importante de gestion des vulnérabilités. Nous avons demandé aux répondants à quelle fréquence ils mettaient à jour leurs plugins, thèmes et noyau WordPress. Environ 53 % des répondants ont déclaré mettre à jour leurs composants chaque semaine. 20 % des répondants ont déclaré effectuer des mises à jour quotidiennement et 18 % par mois. D’autres ont activé la mise à jour automatique ou n’ont aucune information parce qu’ils ne sont pas responsables des mises à jour.

Les budgets de sécurité du site web sont presque inexistants

L’écosystème WordPress dispose d’innombrables plugins et outils de sécurité parmi lesquels choisir. Certains des outils sont gratuits, d’autres coûtent jusqu’à des centaines par mois. Nous voulions savoir quelles sont les dépenses moyennes pour la sécurité des sites Web parmi les propriétaires de sites Web, les développeurs et les agences numériques.

D’après les données que nous avons recueillies, 28 % des répondants n’avaient aucun budget pour protéger leurs sites web. Environ 27 % des répondants ont déclaré que le budget de sécurité de leur site Web par site Web et par mois se situe entre 1 et 3 dollars.

Seulement environ 7 % des répondants ont déclaré que leur budget de sécurité de site Web est d’environ 50 $ par site et par mois et que la plupart de ces répondants provenaient d’agences numériques.

Le coût moyen de la suppression des logiciels malveillants WordPress en 2021 était de 613 $.

Économisez du temps et de l’argent en protégeant les sites Web contre la première raison pour laquelle ils sont piratés.

Commencez votre essai gratuit

En examinant les coûts de la suppression des logiciels malveillants, nous avons vu que les répondants dépensent en moyenne 613 $ pour une suppression de logiciels malveillants WordPress. Le prix le plus élevé payé était de 4 800 $ et le plus bas de 50 $.

Le coût moyen de la sécurité des sites Web chez ceux qui ont fait pirater leurs sites Web en 2021 était d’environ 8 $ par site/par mois.

Le plus gros problème de sécurité WordPress demeure

Pour la deuxième année consécutive (voir le rapport d’enquête 2020 ici), nous avons constaté que les répondants voient que le plus gros problème dans la sécurité de WordPress est – les vulnérabilités du noyau WordPress, des plugins et des thèmes.

Les défis les plus populaires rencontrés lors de la sécurité des sites Web en 2020 étaient le manque de connaissances, le blocage et la prévention des attaques, ainsi que les vulnérabilités des plugins et des thèmes.

En 2021, les défis restent les mêmes. Plus de la moitié des répondants (59%) ont répondu qu’à leur avis, le plus gros problème dans la sécurité de WordPress est les vulnérabilités du noyau, du plugin et du thème.

Environ 15% ont partagé qu’à leur avis, les mots de passe non sécurisés sont le plus gros problème dans la sécurité de WordPress. Le même nombre de répondants ont déclaré que le plus gros problème est les plugins, les thèmes nuls (malicieux). Un peu plus de 9 % des personnes interrogées considéraient que le plus gros problème était un environnement d’hébergement non sécurisé.

Il n’est probablement pas surprenant que les gens utilisent de mauvais mots de passe. Une étude des comptes « piratés » accessibles au public révèle que « 123456 » était le mot de passe le plus utilisé, suivi de « 123456789 » et « qwerty ». En savoir plus sur la façon de sécuriser vos mots de passe.

Conclusion

Les vulnérabilités des plugins et des thèmes restent l’une des plus grandes menaces pour les sites web construits sur WordPress. En fait, 99,42 % des vulnérabilités de sécurité ont été trouvées dans les plugins et les thèmes WordPress, tandis que seulement 0,58 % des vulnérabilités de sécurité provenaient de WordPress Core.

Nous avons constaté une croissance de 150 % des vulnérabilités signalées en 2021 par rapport à 2020, ce qui est une augmentation significative. Pendant ce temps, 29% des plugins WordPress présentant des vulnérabilités critiques n’ont reçu aucun correctif.

En 2021, Patchstack a lancé une communauté de primes aux bogues pour les pirates éthiques (Patchstack Alliance) afin d’identifier et de corriger les vulnérabilités dans l’ensemble de l’écosystème WordPress. En 2021, environ 13 000 $ ont été versés à titre de primes. Des marques telles que Plesk, cPanel, Pagely et bien d’autres le soutiennent déjà. Soutenez le mouvement !

Sources

Original de l’article en Anglais : https://patchstack.com/whitepaper/the-state-of-wordpress-security-in-2021/

Nous solutions de maintenance WordPress à partir de 34€ ht/ mois

Besoin d'aide avec votre site WordPress ?

Découvrez nos forfaits de maintenance et notre service d'optimisation IA

Voir nos offres →