Nous savons tous que de nombreux sites WordPress sont piratés chaque année. Est-ce parce que WordPress est un système non sécurisé? Est-ce un problème mondial de WordPress ou est-ce que cela vient des actions de ces webmasters? Comment et pourquoi cela se produit-il?
Que vous exploitiez un blog personnel, un site Web professionnel ou un site de commerce électronique sur WordPress, la sécurité de votre site Web devrait être une priorité. Il peut y avoir plusieurs raisons pour lesquelles la sécurité de votre site est compromise. Les raisons les plus courantes sont les mots de passe faibles, les erreurs des utilisateurs, les logiciels obsolètes et les mises à jour de sécurité manquantes.
Dans cet article, on utilise les dernières statistiques de la base de données de vulnérabilités WPScan pour mettre en évidence quels sont les composants WordPress les plus vulnérables et pour mettre l'accent sur l'importance d'exécuter des logiciels à jour et d'installer les correctifs de sécurité nécessaires.
Sommaire
Avant de plonger dans les statistiques, expliquons d'où nous avons obtenu ces chiffres. Toutes les données sont extraites de la base de données de vulnérabilité WPScan, une version consultable en ligne des fichiers de données de WPScan.
WPScan est un scanner de sécurité de boîte noire WordPress automatisé open source. Ce scanner utilise ces données pour détecter les vulnérabilités connues du noyau, des plugins et des thèmes WordPress dans les sites Web WordPress.
À ce jour, la base de données de vulnérabilités WPScan contient 21 755 vulnérabilités, dont 4 154 sont des vulnérabilités uniques.
Selon la base de données de vulnérabilités WPScan, ~ 80% des vulnérabilités connues qu'ils ont enregistrées se trouvent dans le logiciel de base de WordPress. Mais voici le kicker - les versions avec le plus de vulnérabilités sont toutes de retour dans WordPress 3.X.
Jusqu'à présent, il y a 17 467 vulnérabilités logicielles de base de WordPress dans la base de données de vulnérabilités WPScan. Ensuite, il y a 3846 (17%) vulnérabilités de plugins WordPress et 442 (3%) vulnérabilités de thèmes WordPress.
Le nombre de vulnérabilités dans le cœur de WordPress est gonflé dans la base de données de vulnérabilités en raison des nombreuses versions de WordPress. Voici une explication de la raison pour laquelle cela se produit.
Une vulnérabilité de script intersite se trouve dans un composant de la version 5.4.2 de WordPress. Ce composant est utilisé dans WordPress depuis la version 3.7. Par conséquent, toutes les versions précédentes de WordPress sont vulnérables. Par conséquent, dans la base de données des vulnérabilités WPScan, il y aura une vulnérabilité unique et 256 autres vulnérabilités!
Le cœur de WordPress en tant que tel n'est donc pas non plus sécurisé. Il est très important de souligner que le cœur de WordPress a parcouru un très long chemin et qu'il s'agit d'un logiciel bien meilleur et plus sécurisé qu'il ne l'a jamais été.
Les types de vulnérabilité les plus populaires dans le noyau, les plugins et les thèmes WordPress sont les scripts intersites et l'injection SQL. Cela n'est pas surprenant étant donné que ces 2 vulnérabilités ont été répertoriées dans le Top 10 OWASP des problèmes de sécurité Web les plus courants depuis sa création.
Le graphique ci-dessous met en évidence les 10 versions principales de WordPress les plus vulnérables, les versions 3.7.1 et 3.8.1 étant en tête du peloton avec 92 vulnérabilités chacune. En deuxième lieu, avec 91 vulnérabilités se trouve la version 3.9 de WordPress.
Cependant, depuis lors, WordPress est définitivement devenu plus sécurisé. Jetons un coup d'œil au nombre de vulnérabilités dans les 5 dernières versions de WordPress. Comme vous pouvez le voir, la différence est assez grande.
Voici quelques faits sur les 10 plugins WordPress les plus vulnérables:
NextGEN Gallery, NinjaForms et WooCommerce sont en tête du peloton avec 22 vulnérabilités chacun.
Nous avons été surpris de voir All In One WP Security & Firewall, un plugin de sécurité WordPress dans le Top 10 des plugins WordPress les plus vulnérables. Je ne dis pas que de tels plugins sont à l'épreuve des balles. Cependant, je m'attendrais à ce qu'un plugin écrit par des spécialistes de la sécurité ait moins de vulnérabilités, ou du moins ne soit pas dans le top 10.
Le graphique ci-dessous met en évidence les 10 thèmes WordPress les plus vulnérables. Le plus élevé n'a que 5 vulnérabilités sous son nom.
Les thèmes ont tendance à avoir beaucoup moins de vulnérabilités que les plugins car ils en font beaucoup moins en termes de fonctionnalités. Par exemple, alors que la plupart des plugins gèrent les données, les entrées utilisateur et manipulent les données utilisateur, les thèmes changent principalement l'apparence des sites Web WordPress.
Les gens aiment WordPress en raison de la vaste gamme de plugins et de thèmes disponibles. Au moment d'écrire ces lignes, il y a plus de 57000 plugins et plus de 7000 thèmes sur le référentiel WordPress, et des milliers d'autres premiums dispersés sur le Web.
Bien que toutes ces options soient idéales pour améliorer votre site, vous devez toujours faire un peu de recherche avant d'installer un plugin ou un thème sur votre site Web WordPress. Alors que la plupart des développeurs WordPress font un bon travail en suivant les normes de code et en corrigeant les problèmes de sécurité signalés une fois qu'ils sont connus, il y a encore quelques problèmes potentiels:
Reportez-vous à la façon de choisir le meilleur plugin WordPress pour vos besoins pour plus de détails à ce sujet et comment déterminer si un plugin est un bon choix pour votre site WordPress.
Bref, gardez tous vos logiciels à jour!
WordPress est l'un des CMS les plus populaires au monde, et si vous suivez les meilleures pratiques de sécurité et le maintenez à jour, il est très peu probable que votre site Web rencontre des problèmes.
Ces statistiques sont basées sur les informations stockées dans la base de données de vulnérabilité WPScan. Bien qu'il soit fréquemment mis à jour, il n'est en aucun cas complet.
Il existe de nombreux autres plugins et thèmes WordPress vulnérables qui ne sont pas répertoriés ici. Cependant, cela nous donne un bon aperçu de l'état des vulnérabilités de WordPress.
L'équipe WPScan encourage tous ceux qui connaissent les vulnérabilités du cœur, du plugin ou du thème de WordPress à leur soumettre les détails.
Avant de soumettre une nouvelle vulnérabilité, effectuez une recherche dans la base de données pour vous assurer que le problème n'a pas été soumis auparavant. Cela garantira que nous disposons d'une source d'information centralisée et fiable.
Maintenant que nous avons couvert toutes les vulnérabilités potentielles et connues, examinons les différentes façons de sécuriser votre site Web.
La première chose à faire est de mettre régulièrement à jour votre version WordPress. Vous devez absolument développer la pratique de la mise à jour de votre version WordPress et aussi, n'oubliez pas de mettre à jour vos plugins et thèmes.
Voici quelques actions supplémentaires que vous pouvez effectuer pour sécuriser votre site WordPress:
Lorsque vous avez un mot de passe fort, toute tentative de piratage peut être évitée ou du moins retardée.
Toute personne souhaitant se connecter à votre site Web WordPress devra passer par une étape supplémentaire avant d'accéder à votre compte.
Cela tente presque tout le monde, mais ces copies gratuites de plugins et de thèmes premium sont le plus souvent chargées de logiciels malveillants. Soutenez les développeurs des plugins que vous utilisez en achetant l'édition premium. Cela permet de développer davantage le produit, d'ajouter de nouvelles fonctionnalités et de le maintenir en sécurité.
De nos jours, il existe une grande variété de plugins de sécurité créés pour protéger votre site Web contre diverses attaques. Les meilleurs sont mis à jour régulièrement, ce qui les rend capables de détecter toute tentative de piratage et tout ajout à votre code. Nous développons un certain nombre de plugins de sécurité et de gestion de site WordPress. Vérifie-les!
Sécuriser votre site Web est essentiel. Avoir une vision claire des menaces et des outils que vous pouvez utiliser pour faire face aux attaques potentielles est crucial. Votre première priorité devrait être d'avoir et de maintenir un site Web sécurisé.
En raison de sa popularité, WordPress est une grande cible pour les pirates. C'est pourquoi vous devez faire un effort supplémentaire pour assurer la sécurité de votre site. Un site sécurisé renforcera sûrement la confiance de vos clients potentiels et, par conséquent, contribuera à la croissance de votre entreprise.