Passer au contenu

Bright Plugins acquiert des plugins WordPress et WooCommerce. Vendez votre entreprise de plugins à un partenaire Automattic et à un expert WooCommerce vérifié.

Connectons-nous
État de la sécurité de WordPress en 2023
WordPress

État de la sécurité de WordPress en 2023

Le défi est l’état en constante évolution de la sécurité de WordPress en 2023, en se protégeant contre les nouvelles cybermenaces.

WordPress est une plateforme CMS populaire depuis sa création en 2003. Cependant, la popularité implique le risque de menaces à la sécurité. Alors que nous entrons dans 2023, il est essentiel de faire le point sur l’état actuel de la sécurité WordPress.

Vulnérabilités de sécurité WordPress par catégorie

Source de l’image : WordFence (en anglais)

Entre 2021 et 2022, des changements importants ont été observés dans les cinq principales catégories de vulnérabilités divulguées. Un changement notable est que la divulgation d’informations a dépassé les téléchargements de fichiers et est devenue la cinquième catégorie de vulnérabilité la plus répandue. Cela souligne l’importance cruciale de la sécurisation des données sensibles et confidentielles. De plus, il y a eu une augmentation considérable des vulnérabilités CSRF, qui ont plus que doublé et occupent désormais une position plus élevée que les vulnérabilités de contournement d’autorisation, qui ont également connu un quasi-doublement de 2021 à 2022.

Vulnérabilités de sécurité WordPress par type de logiciel

Source de l’image : WordFence (en anglais)

En examinant la répartition des endroits où les vulnérabilités ont été signalées, il est évident que les plugins constituent la grande majorité des vulnérabilités signalées. Il est important de reconnaître qu’il existe beaucoup plus de plugins que de thèmes disponibles, ce qui influence naturellement cette statistique. Néanmoins, cela souligne que la plateforme centrale de WordPress est relativement plus sécurisée, et que toute préoccupation de sécurité dans l’écosystème WordPress peut être attribuée aux plugins et aux thèmes.

Voici quelques statistiques de sécurité rapides de WordPress à prendre en compte, que nous développerons ci-dessous :

  • 74 % des sites WordPress piratés utilisaient des logiciels obsolètes au moment de l’attaque.
  • Sur un groupe de sites WordPress les plus populaires, 26 avaient des plugins avec des risques de sécurité critiques.
  • En 2022, 328 bugs de sécurité de plus ont été signalés que l’année précédente, ce qui porte le nombre total à 4 528

Malgré de nombreux efforts pour améliorer la sécurité au fil des ans, WordPress reste vulnérable aux attaques dues à des versions logicielles obsolètes et à des mots de passe faibles. En fait, selon un rapport de Sucuri, près de 74 % des sites WordPress piratés utilisaient des logiciels obsolètes au moment de l’attaque. De plus, les plugins et les thèmes présentent des vulnérabilités potentielles lorsqu’ils ne sont pas mis à jour régulièrement.

Cela étant dit, des améliorations notables ont été apportées ces dernières années pour renforcer la sécurité de WordPress. Il s’agit notamment des mises à jour automatiques des fichiers de base et des plugins et améliorés Exigences en matière de mot de passe utilisateur.

Considérez ce fait : en 2022, une découverte choquante a été faite concernant la sécurité des plugins de sites Web populaires. Il a été constaté que 26 de ces plugins contenaient des bogues de sécurité critiques qui n’ont jamais été corrigés. Tous les sites Web exécutant ces plugins risquent d’être piratés et de voir leurs informations sensibles compromises.

Cette révélation prouve que les propriétaires de sites web ne peuvent pas se permettre d’être complaisants quant à la sécurité de leurs sites. Avec les cybermenaces qui deviennent de plus en plus sophistiquées chaque jour, les entreprises doivent prendre toutes les mesures nécessaires pour se protéger elles-mêmes et leurs clients. Cela inclut la mise à jour régulière des logiciels et la garantie que toute vulnérabilité est rapidement corrigée.

En 2022, nous avons constaté une augmentation significative des rapports de bogues de sécurité pour les plugins WordPress. Plus précisément, 328 bogues de plus ont été signalés que l’année précédente, ce qui porte le nombre total de bogues de sécurité confirmés dans notre base de données à 4 528. Il s’agit d’une augmentation beaucoup plus significative qu’en 2021, où seulement 1 382 bogues de sécurité avaient été signalés. Ces chiffres démontrent l’importance de surveiller et de mettre à jour régulièrement les plugins pour détecter les failles de sécurité dès que possible.

En tant que l’un des systèmes de gestion de contenu (CMS) les plus populaires au monde, WordPress est souvent ciblé par des cybercriminels cherchant à exploiter les vulnérabilités du code de la plateforme. WordPress a mis en place plusieurs mesures de sécurité au fil des ans pour contrer cette menace, notamment des mises à jour automatiques et des politiques de mots de passe améliorées. Cependant, la divulgation responsable est l’un des moyens les plus efficaces de rendre l’écosystème WordPress plus sécurisé.

La divulgation responsable est devenue plus courante ces dernières années, et l’écosystème WordPress a considérablement bénéficié de cette tendance. Beaucoup Des chercheurs en sécurité qui découvrent des vulnérabilités dans les plugins WordPress, les thèmes ou la plate-forme principale, choisissez maintenant de les signaler à l’équipe de sécurité WordPress, qui peut ensuite travailler avec les développeurs de plugins et de thèmes pour publier un correctif.

L’un des avantages de la divulgation responsable est qu’elle permet aux développeurs de publier un Correction de la vulnérabilité avant qu’il ne devienne largement connu. Cela permet d’empêcher les cybercriminels de exploiter la vulnérabilité pour compromettre les sites WordPress . Lorsque des vulnérabilités sont rendues publiques avant qu’une correction ne soit disponible, cela s’appelle une exploitation « zero-day ».

La divulgation responsable permet également aux utilisateurs de WordPress de corriger les vulnérabilités en temps opportun, réduisant ainsi le risque que leurs sites soient piratés. Lorsqu’une vulnérabilité est découverte et signalée par le biais d’une divulgation responsable, l’équipe de sécurité de WordPress peut travailler rapidement pour publier un correctif. Les propriétaires de sites peuvent ensuite mettre à jour leurs plugins, leurs thèmes ou la plate-forme principale de WordPress pour appliquer le correctif et réduire le risque de sites compromis.

La communauté WordPress a reconnu l’importance de la divulgation responsable, et plusieurs initiatives font maintenant la promotion de cette pratique. Par exemple, l’équipe de sécurité de WordPress dispose d’une adresse e-mail dédiée aux chercheurs en sécurité pour signaler les vulnérabilités. De nombreux développeurs de plugins et de thèmes incluent désormais une politique de divulgation responsable sur leurs sites Web.

En conclusion, la divulgation responsable est une pratique essentielle pour renforcer la sécurité de l’écosystème WordPress. En signalant les vulnérabilités à l’équipe de sécurité de WordPress de manière responsable et éthique, les chercheurs en sécurité peuvent aider les développeurs à publier rapidement des correctifs, réduisant ainsi le risque d’exploitation zero-day. Les utilisateurs de WordPress peuvent également bénéficier d’une divulgation responsable en appliquant des correctifs à leurs sites en temps opportun, réduisant ainsi le risque que leurs sites soient compromis. La communauté WordPress doit continuer à promouvoir et à encourager la divulgation responsable pour s’assurer que la plateforme reste sûre et fiable pendant des années.

Vous aimez cet article ?
Partagez-le sur les réseaux sociaux !

Consultez un autre article de blog !

Retour à tous les articles du blog