Une augmentation d’année en année a été observée dans le nombre de vulnérabilités de sécurité trouvées dans l’écosystème WordPress.

Le nombre de failles signalées dans les plugins et les thèmes pour WordPress était 150 % plus élevé en 2021 qu’en 2020, selon les chercheurs de la société de sécurité WordPress Patchstack. Pas moins de 29 % des vulnérabilités critiques n’ont jamais été corrigées.

WordPress alimente un peu plus de 40% de tous les sites Web, mais les bogues dans les plugins et les thèmes peuvent rendre ces sites vulnérables à l’injection SQL, au téléchargement de fichiers arbitraires, à l’exécution de code à distance (RCE) ou aux attaques d’escalade de privilèges, entre autres.

Force centrale, faiblesse périphérique

Pile de patchs État de la sécurité de WordPress rapport a révélé que relativement peu de vulnérabilités affectaient le cœur de WordPress, qui ne représentait que 0,58 % des bogues de sécurité de WordPress en 2021. Le problème réside plutôt dans la profusion de modules complémentaires tiers qui élargissent les fonctionnalités et l’attrait de la plateforme.

« WordPress a près de 60 000 plugins gratuits disponibles dans le référentiel WordPress.org et près de 10 000 thèmes », a déclaré Oliver Sild, PDG de Patchstack. La gorgée quotidienne. « Ceux-ci sont tous écrits par des personnes différentes avec des compétences de codage différentes. »

Sild a déclaré que le saut dans les bogues détectés est «très probablement dû au fait qu’il y a de plus en plus d’attention à la sécurité sur WordPress. La majorité de ces vulnérabilités existent depuis des années.

Selon Sild, les développeurs de plugins et de thèmes échouent souvent à mettre à jour leurs produits. Lorsque les correctifs ne se matérialisent pas pour les bogues connus, les seules options raisonnables disponibles consistent à supprimer le plug-in ou à utiliser un outil de sécurité WordPress tiers pour appliquer un correctif virtuel. « Les utilisateurs de ces plugins voient simplement que tout est mis à jour et n’ont pas la possibilité de corriger le plugin », a déclaré Sild.

 » Compromis complet du site « 

Patchstack a recueilli des données de quelque 50 000 sites Web qui utilisent son propre outil de sécurité WordPress.

Les chercheurs ont trouvé plus de 50 vulnérabilités critiques dans les thèmes et 35 dans les plugins. De manière alarmante, deux des vulnérabilités se trouvaient dans des plugins trouvés dans plus d’un million de sites Web.

« Tous ces bogues de sécurité présentent un risque important jusqu’à ce que les sites puissent mettre à jour leurs plugins, car des attaques réussies entraîneraient une compromission complète du site », a déclaré Robert Rowley, défenseur de la sécurité de Patchstack. La gorgée quotidienne.

Les chercheurs ont découvert que 12,4 % des vulnérabilités des thèmes WordPress avaient un score CVSS compris entre 9 et 10, la gravité maximale. La faille la plus grave était un bogue de téléchargement de fichier arbitraire menaçant de compromettre l’intégralité du site. Cela concernait 10 thèmes.

Les propriétaires de sites ou les hébergeurs peuvent protéger leurs sites contre les défauts arbitraires de téléchargement de fichiers en interdisant l’exécution de fichiers PHP dans les répertoires de téléchargement de fichiers, ce qui n’affecterait pas les téléchargements de médias légitimes tels que des images ou des vidéos. Les organisations peuvent le faire via le fichier Apache .htaccess, les règles Nginx ou une règle de pare-feu d’application Web.

Les problèmes de script intersite (XSS) étaient également répandus, représentant près de la moitié des vulnérabilités dans la base de données de Patchstack. Celles-ci peuvent conduire à des injections HTML ou JavaScript qui redirigent les utilisateurs vers des sites malveillants ou injectent des publicités.

Vérifications nécessaires

Pour contrer les vulnérabilités, Rowley conseille aux propriétaires de sites d’utiliser uniquement des plugins et des thèmes qui sont mis à jour de manière fiable.

Certains des plugins les plus risqués sont utilisés – et non corrigés – depuis des années.

« Tous les plugins peuvent contenir du code vulnérable », a-t-il déclaré. «Avoir un développeur qui est actif dans son projet et qui fournit des mises à jour régulières, en particulier des mises à jour de sécurité, est une considération importante pour les propriétaires de sites qui choisissent les plugins à ajouter à leurs sites Web WordPress.

« Se fier aux mises à jour automatiques peut ne pas suffire, car certains composants non sécurisés ne reçoivent jamais de correctif. »