Des plug-ins qui ont laissé des milliers d'acheteurs sur des sites WordPress vulnérables lors du Black Friday et du Cyber ​​​​Monday

Des milliers d'Américains se sont préparés pour des événements de magasinage massifs dans le monde des dotcoms à la fin de Thanksgiving. Ils ne savaient pas que leurs coordonnées bancaires et leurs informations privées étaient dévoilées par les plug-ins de sécurité utilisés par des centaines de plateformes de commerce électronique ? Sur internet.

Non, ce n'est pas le prologue d'une histoire d'horreur. Il s'agit d'un événement très récent qui a laissé le monde de la technologie frappé par l'horreur de multiples violations de la vie privée sur des sites Web de commerce électronique de confiance basés sur WordPress. Les noms spécifiques des sites Web n'ont pas été mentionnés ni les noms (versions) des plug-ins qu'ils utilisent, mais le rapport le plus récent nous montre que plus de 100 000 sites Web ont été laissés sans défense.

Quelle est la vulnérabilité la plus notée ?

Nous pourrions choisir de fermer les yeux sur les défauts de notre plate-forme CMS et de nos modèles de sites Web préférés, mais les plug-ins WordPress ont d'énormes problèmes de sécurité. Parmi les nombreuses vulnérabilités découvertes en novembre, la pire a peut-être été une version non corrigée du plug-in Revolution Image Slider. Il s'agissait essentiellement d'une version obsolète de RevSlider qui était largement utilisée par les sites Web WordPress. Ce plug-in a été utilisé pour divulguer d'énormes quantités de données personnelles lors de la fameuse fuite des Panama Papers en avril 2016. Cela était corrélé à la fuite de plus de 2,6 To de données et de plus de 11,5 millions de documents pendant cette période.

Très récemment, DynamicPress a corrigé une faille majeure dans la conception du plug-in WordPress qui pourrait permettre à tout tiers de télécharger des fichiers malveillants exécutés sur des modèles WordPress Neosense. C'était plus tôt en septembre, et éventuellement tous les sites utilisant les thèmes concernés et les serveurs les hébergeant également.

Calculer les chiffres -
Environ 50 % des sites Web attaqués par les cybercriminels utilisaient des fonctionnalités de sécurité obsolètes et aucune de leurs versions de plug-in n'a été mise à jour. Cela a été confirmé plus tard par un rapport publié par Website Hacked Report. C'est également à ce moment-là que les plug-ins WordPress ont été déclarés fautifs, puisque 78 % de tous les sites Web piratés étaient des sites WordPress.

Le mot sur le marché –
Checkmarx a analysé les 12 principaux plug-ins de site Web de commerce électronique pour WordPress afin de dévoiler leurs menaces de sécurité importantes. Sur les 12, 4 plug-ins présentent des vulnérabilités à haut risque. Reflected XSS était le défaut le plus fréquemment trouvé parmi les plug-ins défectueux et une injection SQL a été trouvée dans au moins l'un d'entre eux. La manipulation de fichiers était un facteur commun à tous les plug-ins compromis qui étaient utilisés par plus de 100 000 magasins en ligne. À la fin des achats du Black Friday, des millions de détails de compte étaient déjà entre les mains de pirates. Si les vulnérabilités ont été exploitées par les pirates à leur plein potentiel, les utilisateurs de plus de 135 000 sites Web pourraient trouver leurs informations sensibles entre les mains de cybercriminels.

Pourquoi les gens utilisent-ils généralement WordPress ?
La plupart des détaillants et entrepreneurs en ligne optent pour WordPress car ils sont faciles à configurer et à publier. La part du lion du travail sur le site Web est effectuée par les plug-ins. La principale responsabilité de l'administrateur est de vérifier si toutes les mises à jour ont lieu à temps. Dans la tendance la plus récente des événements, même les physiothérapeutes, les dentistes et les médecins se tournent vers WordPress pour créer leurs profils en ligne. Mais la tendance est plus forte parmi les cliniques et les organismes de santé qui commandent leurs services.

WordPress est leur premier choix simplement parce que les modèles sont prêts à l'emploi et adaptés aux mobiles, vous pouvez surveiller le trafic en temps réel et vous pouvez facilement rendre votre site Web lié à la santé convivial pour le référencement. Chaque modèle et thème de WordPress est livré avec des fonctionnalités de référencement. Qu'il s'agisse de référencement médical, de physiothérapie, de neurologie ou de marketing dentaire, le thème WordPress que vous avez choisi est probablement suffisamment équipé pour le gérer ! Ainsi, en choisissant WordPress, vous pouvez automatiquement garder une longueur d'avance sur vos concurrents.

Pourquoi l'incident WordPress n'a-t-il pas été un gâchis incorrigible ?
Maintenant, avec les menaces les plus récentes subies par les utilisateurs de sites Web WordPress, il peut être normal de constater une baisse de la fréquentation. Mais heureusement, la plupart des visiteurs de votre site Web ne sont pas suffisamment experts pour savoir quelle plate-forme CMS vous utilisez. D'un autre côté, il y a eu un très récent scandale de sécurité impliquant Joomla! sites Web également. C'était après que WordPress ait été diagnostiqué avec de graves vulnérabilités. Le Joomla! des annonces de sécurité ont été faites le 26 octobre 2016. Cela a non seulement distrait les publics les plus avertis, mais a également prouvé que ce type de menaces se produit.

Ce petit plus pour booster vos ventes –
Mais vous pouvez franchir une étape supplémentaire et envoyer des courriers à tous vos clients et publier des messages personnalisés via vos comptes de médias sociaux sur les mesures que vous avez prises pour protéger vos clients. Les choses les plus importantes que vous devez clarifier ici devraient inclure - la version du moteur que vous utilisez peut-être, la version mise à jour des plug-ins de sécurité et les mesures de sécurité supplémentaires que vous avez adoptées après l'incident qui s'est produit fin novembre.

Un mot aux propriétaires de sites Web WordPress –
Il n'est pas impossible d'éviter en permanence tous les problèmes de sécurité. à mesure que votre sécurité évolue, la technologie du piratage évolue également. Dans la course de survie d'une reine rouge, personne ne peut définitivement battre l'autre. Si vous êtes en sécurité aujourd'hui, ce n'est qu'un soulagement temporaire. Vous devez constamment mettre à niveau vos plug-ins et votre sécurité avec les derniers correctifs de sécurité pour maintenir vos pare-feu solides. Continuez à exécuter des tests de vulnérabilité sur vos sites Web et demandez l'aide d'agences spécialisées dans ce domaine. Il vaut toujours mieux que vous trouviez une entrée backend négligée plutôt qu'une équipe de hackers vous la montre.

Biographie de l' auteur : Anthony Perez est un nom bien connu dans les domaines de la cybersécurité et du marketing numérique. Il est un expert en référencement et a perfectionné ses compétences au cours des 6 dernières années. Il s'intéresse à la cybersécurité depuis peu. Si vous avez des questions sur les stratégies de marketing, telles que les stratégies de référencement pour la santé, le marketing pour le référencement dentaire et les options de référencement pour les médecins, contactez Perez avec vos questions.