TL;DR : l’état actuel de la sécurité WordPress

  • Augmentation des vulnérabilités critiques.
  • Les XSS dominent le paysage des menaces.
  • Framework Freemius impliqué dans de nombreuses vulnérabilités.
  • Les vulnérabilités non authentifiées sont en hausse.
  • Explosion des plugins et thèmes abandonnés.
  • Moins de plugins populaires vulnérables en 2023.
  • Essential Addons for Elementor et d’autres plugins populaires affectés.
  • Importance accrue des mesures de sécurité proactive.

Quel est l’état de la sécurité sur WordPress en 2023 ?

La sécurité sur WordPress a toujours été un sujet brûlant, et en 2023, la situation semble s’intensifier. Les vulnérabilités de haute et critique sévérité sont en augmentation, mettant en lumière l’importance cruciale de la sécurité pour tous les utilisateurs de WordPress.

La plateforme, qui alimente une part significative du web, est devenue une cible privilégiée pour les cyberattaques, nécessitant une vigilance constante de la part des administrateurs de sites.

Quelle est la vulnérabilité WordPress la plus courante en 2023 ?

En 2023, les vulnérabilités de type cross site scripting (XSS) règnent en maître, représentant 53,3% de toutes les nouvelles vulnérabilités de sécurité WordPress. Ces vulnérabilités émanent souvent d’une “sanitisation” insuffisante des entrées utilisateurs, permettant aux attaquants d’injecter du code malveillant dans les sites web.

Pour en savoir plus sur ces vulnérabilités et leurs implications, consultez cet article détaillé sur Search Engine Journal.

Quel impact a le framework Freemius sur les vulnérabilités XSS ?

Le framework Freemius, largement utilisé dans les plugins WordPress, a été associé à plus de 1 200 vulnérabilités XSS, ce qui représente 21% de toutes les nouvelles vulnérabilités XSS découvertes en 2023. Avec le SDK Freemius présent dans plus de 1 200 plugins, plus de 7 millions de sites WordPress pourraient être affectés.

Comment ont évolué les classifications des vulnérabilités en termes de sévérité ?

Si en 2022, seulement 13% des nouvelles vulnérabilités étaient classées comme élevées ou critiques, en 2023, cette proportion a grimpé à 42,9%. Cette évolution marque une tendance alarmante vers des failles de sécurité potentiellement plus dommageables pour les sites WordPress.

Qu’est-ce que les vulnérabilités authentifiées par rapport aux vulnérabilités non authentifiées ?

Les vulnérabilités non authentifiées, qui représentent 58,9% de toutes les nouvelles vulnérabilités, sont particulièrement dangereuses car elles ne nécessitent aucune authentification pour être exploitées. Cela signifie qu’elles peuvent être exploitées automatiquement par des bots, augmentant le risque d’attaques en masse.

Quel est le risque associé aux plugins abandonnés ?

Le nombre de plugins et thèmes abandonnés a explosé en 2023, atteignant 827, avec 481 retraits. Cette hausse met en évidence le risque accru pour les sites utilisant des extensions obsolètes et non maintenues, qui deviennent des cibles faciles pour les cybercriminels.

Quels sont les plugins populaires avec des vulnérabilités ?

Bien que le nombre de plugins populaires avec des vulnérabilités ait diminué en 2023, les 9 plugins identifiés avaient tous des vulnérabilités critiques, même si le seuil a été abaissé à 100 000 installations. Cette tendance souligne la nécessité d’une vigilance constante, même pour les plugins largement utilisés.

Quelle est la liste des plugins les plus populaires avec des vulnérabilités ?

Par exemple, Essential Addons for Elementor, avec plus d’un million d’installations, a reçu une note de sévérité de 9,8. WP Fastest Cache et Gravity Forms sont également sur la liste, soulignant que même les plugins bien établis ne sont pas à l’abri des vulnérabilités.

Quelles sont les conséquences pour la sécurité sur WordPress et quelles mesures prendre ?

L’augmentation des vulnérabilités en 2023, notamment celles de niveaux élevés et critiques, nécessite des mesures de sécurité renforcées. Les éditeurs de sites doivent améliorer la sécurité et effectuer des audits réguliers. Les services de sécurité tels que Patchstack deviennent essentiels pour protéger les sites WordPress contre ces vulnérabilités.