En 2021, Patchstack a ajouté près de 1500 nouvelles vulnérabilités à la base de données Patchstack. Ces vulnérabilités concernaient les plugins WordPress, les thèmes et le noyau WordPress.
Si vous comparez ces chiffres avec ceux de 2020 où nous avons vu près de 600 nouvelles vulnérabilités, il est clair que 2021 a été une année exceptionnelle pour la sécurité de l’écosystème WordPress.
Le référentiel WordPress.org ouvre la voie en tant que source principale pour les plugins et thèmes WordPress. Les vulnérabilités de ces composants représentaient 91,79 % des vulnérabilités ajoutées à la base de données Patchstack.
Les 8,21 % restants des vulnérabilités signalées en 2021 ont été signalées dans des versions premium ou payantes des plugins ou thèmes WordPress qui sont vendus sur d’autres marchés comme Envato, ThemeForest, Code Canyon, ou mis à disposition pour téléchargement direct uniquement.
Scripts intersites (XSS) très répandus
Les vulnérabilités de script intersite (XSS) ont une fois de plus été en tête des graphiques en 2021, représentant près de 50 % du total des vulnérabilités ajoutées à la base de données Patchstack en 2021. Par rapport à 2020 – les vulnérabilités XSS représentaient un peu plus de 36 %, en 2021, nous constatons une augmentation des vulnérabilités de script intersites.
En comparant 2020 et 2021, nous voyons que CSRF et SQLi ont changé de place. SQL Injection a compté 9,1 % des vulnérabilités en 2020 et Cross-Site Request Forgery est arrivé en troisième position avec 6,5 % des vulnérabilités en 2020.
CVSS (3.1) est un excellent moyen de calculer la gravité de la vulnérabilité et il est plus facile de montrer le niveau de risque posé par la vulnérabilité sans écrire une explication générale. C’est pourquoi nous essayons de calculer le score CVSS (3.1) pour toutes les vulnérabilités que nous publions sur la base de données.
Vous verrez un score CVSS avec chaque vulnérabilité enregistrée dans la base de données Patchstack. Dans la mesure du possible, nous essayons également d’ajouter un contexte spécifique à l’application. Par exemple : avec les composants WordPress, nous clarifions quels rôles d’utilisateur par défaut seraient nécessaires pour effectuer l’attaque, ce que CVSS ne couvre pas.
Ces informations apparaissent sous la forme d’une instruction telle que “Nécessite une authentification de l’abonné ou de l’utilisateur de rôle supérieur.” sur la page de description de la vulnérabilité.
Il est important de comprendre le contexte du risque de vulnérabilité. Sans cela, vous pourriez finir par stresser inutilement et effectuer des mises à jour d’urgence lorsque le risque n’est tout simplement pas présent, ou pire encore, ignorer ou retarder la résolution d’une vulnérabilité parce qu’elle semble “risque moyen” alors qu’en fait, vos sites Web sont exposés à un risque immédiat en fonction du contexte.
Moins de plugins sont utilisés alors que plus d’entre eux sont obsolètes
Patchstack offre une protection pour les sites WordPress depuis des années. En regardant les utilisateurs de Patchstack, nous voyons des informations importantes sur la façon dont nos utilisateurs gèrent la sécurité.
En 2021, nous avons analysé environ 50 000 sites et examiné le nombre d’installations de plugins et de thèmes. Nous avons constaté qu’en moyenne, un seul site WordPress a 18 composants différents (plugins et thèmes) installés.
En le comparant à 2020 où nous avons constaté qu’un site web moyen avait 23 plugins et thèmes installés sur un seul site. Il montre une amélioration jusqu’à ce que nous comparions le nombre moyen de plugins et de thèmes obsolètes sur un site.
Les vulnérabilités faciles à exploiter restent les principales cibles
Typiquement, seules les vulnérabilités faciles à exploiter sont ciblées. Les vulnérabilités qui ont plus de conditions préalables à une exploitation réussie ne sont généralement pas utilisées dans les campagnes d’exploitation de masse.
Les vulnérabilités que nous voyons être armées dans les campagnes d’exploitation de masse ne nécessitent aucune authentification. Vous trouverez ci-dessous une liste des types de vulnérabilités qui sont les plus attrayants pour les attaquants.
Ces types de vulnérabilités, en particulier celles des plugins populaires, sont souvent exploités dans les heures qui suivent la divulgation de la vulnérabilité au public.
Les anciennes vulnérabilités restent ciblées
Lorsque vous regardez les statistiques des correctifs virtuels Patchstack pour voir quelles vulnérabilités ont été les plus activement ciblées, certaines vulnérabilités critiques qui remontent à des années sont toujours activement ciblées.
Cela peut s’expliquer par l’utilisation d'”outils de piratage” disponibles en ligne. De tels outils sont préprogrammés pour tenter tous les exploits et les vulnérabilités populaires contre une cible, et tout ce que le pirate a à faire est de sélectionner un site Web cible (ou une liste de cibles).
Vous trouverez ci-dessous une liste des principales vulnérabilités qui sont les plus attaquées quotidiennement.
12 850 $ à des pirates éthiques pour sécuriser les plugins
Patchstack Alliance est une plate-forme de chasse aux bogues qui met en relation des pirates éthiques avec des fournisseurs open source pour améliorer la sécurité du web open source. Patchstack Alliance compte des membres d’Allemagne, de France, de Russie, du Portugal, du Brésil, du Vietnam, de Colombie, des Pays-Bas, d’Inde, d’Estonie, de Lituanie, du Myanmar, de Thaïlande, de Malaisie, de Chine, d’Indonésie.
En 2021, Patchstack a payé 12 850,00 USD en primes. Depuis avril 2021, nous avons reçu plus de 1000 rapports de vulnérabilité de la part des membres de l’Alliance.
Le plus grand nombre de points/paramètres vulnérables trouvés dans un seul plugin était de 47. Nous avons accepté des rapports qui ont affecté les plugins avec moins de dix installations actives et aussi ceux avec plus de 5 millions d’installations actives. Les vulnérabilités les plus populaires rapportées par les membres de Patchstack Alliance sont XSS et CSRF.
La première année a prouvé un vif intérêt pour le programme de la part de pirates éthiques, de fournisseurs open source et aussi de partenaires tels que des sociétés d’hébergement.
Sensibilisation accrue aux vulnérabilités
À la fin de 2021, Patchstack a mené un sondage auprès des développeurs de sites Web, des propriétaires de sites Web et des agences numériques. Le but de l’enquête était de comprendre comment s’est passée l’année 2021 en ce qui concerne la sécurité de WordPress.
Lorsqu’ils ont demandé aux répondants à qui ils comptent pour obtenir de l’aide sur la sécurité du site Web, la majorité ont déclaré qu’ils traitent des problèmes de sécurité principalement par eux-mêmes, tout en comptant sur leur fournisseur d’hébergement ou sur l’équipe de support d’un plugin de sécurité.
Dans WordPress, les mises à jour de sécurité sont une tâche très importante de gestion des vulnérabilités. Nous avons demandé aux répondants à quelle fréquence ils mettaient à jour leurs plugins, thèmes et noyau WordPress. Environ 53 % des répondants ont déclaré mettre à jour leurs composants chaque semaine. 20 % des répondants ont déclaré effectuer des mises à jour quotidiennement et 18 % par mois. D’autres ont activé la mise à jour automatique ou n’ont aucune information parce qu’ils ne sont pas responsables des mises à jour.
Les budgets de sécurité du site web sont presque inexistants
L’écosystème WordPress dispose d’innombrables plugins et outils de sécurité parmi lesquels choisir. Certains des outils sont gratuits, d’autres coûtent jusqu’à des centaines par mois. Nous voulions savoir quelles sont les dépenses moyennes pour la sécurité des sites Web parmi les propriétaires de sites Web, les développeurs et les agences numériques.
D’après les données que nous avons recueillies, 28 % des répondants n’avaient aucun budget pour protéger leurs sites web. Environ 27 % des répondants ont déclaré que le budget de sécurité de leur site Web par site Web et par mois se situe entre 1 et 3 dollars.
Seulement environ 7 % des répondants ont déclaré que leur budget de sécurité de site Web est d’environ 50 $ par site et par mois et que la plupart de ces répondants provenaient d’agences numériques.
En examinant les coûts de la suppression des logiciels malveillants, nous avons vu que les répondants dépensent en moyenne 613 $ pour une suppression de logiciels malveillants WordPress. Le prix le plus élevé payé était de 4 800 $ et le plus bas de 50 $.
Le coût moyen de la sécurité des sites Web chez ceux qui ont fait pirater leurs sites Web en 2021 était d’environ 8 $ par site/par mois.
Le plus gros problème de sécurité WordPress demeure
Pour la deuxième année consécutive (voir le rapport d’enquête 2020 ici), nous avons constaté que les répondants voient que le plus gros problème dans la sécurité de WordPress est – les vulnérabilités du noyau WordPress, des plugins et des thèmes.
Les défis les plus populaires rencontrés lors de la sécurité des sites Web en 2020 étaient le manque de connaissances, le blocage et la prévention des attaques, ainsi que les vulnérabilités des plugins et des thèmes.
En 2021, les défis restent les mêmes. Plus de la moitié des répondants (59%) ont répondu qu’à leur avis, le plus gros problème dans la sécurité de WordPress est les vulnérabilités du noyau, du plugin et du thème.
Environ 15% ont partagé qu’à leur avis, les mots de passe non sécurisés sont le plus gros problème dans la sécurité de WordPress. Le même nombre de répondants ont déclaré que le plus gros problème est les plugins, les thèmes nuls (malicieux). Un peu plus de 9 % des personnes interrogées considéraient que le plus gros problème était un environnement d’hébergement non sécurisé.
Conclusion
Les vulnérabilités des plugins et des thèmes restent l’une des plus grandes menaces pour les sites web construits sur WordPress. En fait, 99,42 % des vulnérabilités de sécurité ont été trouvées dans les plugins et les thèmes WordPress, tandis que seulement 0,58 % des vulnérabilités de sécurité provenaient de WordPress Core.
Nous avons constaté une croissance de 150 % des vulnérabilités signalées en 2021 par rapport à 2020, ce qui est une augmentation significative. Pendant ce temps, 29% des plugins WordPress présentant des vulnérabilités critiques n’ont reçu aucun correctif.
En 2021, Patchstack a lancé une communauté de primes aux bogues pour les pirates éthiques (Patchstack Alliance) afin d’identifier et de corriger les vulnérabilités dans l’ensemble de l’écosystème WordPress. En 2021, environ 13 000 $ ont été versés à titre de primes. Des marques telles que Plesk, cPanel, Pagely et bien d’autres le soutiennent déjà. Soutenez le mouvement !
Sources
https://patchstack.com/database/? search=&type=core
https://codex.wordpress.org/Supported_Versions
https://patchstack.com/database/vulnerability/wordpress/wordpress-5-7-object-injection-in-phpmailer-vulnerability-cve-2020-36326
https://patchstack.com/database/vulnerability/wordpress/wordpress-core-5-8-command-injection-vulnerability-in-the-lodash-library
https://patchstack.com/database/vulnerability/wordpress/wordpress-core-5-8-1-expired-dst-root-ca-x3-certificate-issue
https://patchstack.com/database/vulnerability/wordpress/wordpress-5-7-4-plugin-confusion-vulnerability
https://patchstack.com/patchstack-weekly-week-48-dependency-confusion/
https://make.wordpress.org/core/2021/06/29/introducing-update-uri-plugin-header-in-wordpress-5-8/
https://patchstack.com/wp-content/uploads/2021/04/Security-vulnerabilities-of-WordPress-ecosystem-in-2020-Patchstack-1.pdf
https://cve.mitre.org/cgi-bin/cvename.cgi? nom=CVE-2021-36845
https://patchstack.com/articles/patchstack-cve-numbering-authority/
https://w3techs.com/technologies/history_overview/content_management/all/y
Original de l’article en Anglais : https://patchstack.com/whitepaper/the-state-of-wordpress-security-in-2021/
Nous solutions de maintenance WordPress à partir de 34€ ht/ mois