Le paysage des menaces de sécurité WordPress en 2024 : principales tendances et statistiques
Publié: 2024-04-18WPScan a récemment publié son examen des vulnérabilités et menaces pesant sur les sites WordPress en 2023. Avec ces informations en main, les propriétaires de sites et les professionnels de WordPress peuvent naviguer en 2024 un peu plus en toute sécurité.
Dirigé par des experts en sécurité dédiés, WPScan maintient la première base de données des menaces pesant sur l'écosystème WordPress. Utilisé par les meilleurs professionnels du secteur, WPScan est considéré comme la ressource la plus complète disponible. À ce jour, WPScan et ses contributeurs ont identifié, vérifié et classé plus de 49 000 vulnérabilités.
La base de données est utilisée par des entreprises telles que Mercedes-Benz Group, WP Engine, Accenture et Kinsta. Il alimente également des outils de sécurité WordPress renommés tels que Jetpack Scan, disponible via Jetpack Protect ou avec un plan Jetpack Security.
Pourquoi ce rapport existe-t-il ? D'où viennent les données ?
L'équipe de WPScan se consacre à l'identification, à la vérification et à l'indexation des menaces pesant sur l'écosystème WordPress, afin que les outils de sécurité WordPress (comme Jetpack Security) puissent s'en prémunir efficacement et protéger la communauté.
Identifier et comprendre les menaces sont les premières étapes de la protection de la cybersécurité.
Les données de ce rapport ont été compilées à partir des vulnérabilités révélées par WPScan et vérifiées par leurs chercheurs en sécurité, ainsi qu'à partir d'un échantillon de plus de 350 000 sites Web et services Automattic qui utilisent Jetpack Scan ou Jetpack Protect.
Qu’avons-nous appris ?
Vous n'avez pas le temps de lire le rapport complet ? Ne t'inquiète pas. Nous vous proposons un résumé des points clés.
XSS attire beaucoup d'attention, mais les injections SQL constituent une menace plus répandue
Les scripts intersites suscitent beaucoup d’attention. Elle est souvent signalée par les chasseurs de bug bounty et les chercheurs en sécurité (53 % de toutes les vulnérabilités divulguées).
Mais le type de menace le plus courant – comme le démontrent les tentatives bloquées par le pare-feu Jetpack – est en réalité les injections SQL. La menace d'une injection SQL a tendance à être particulièrement sérieuse car peu ou pas d'authentification est nécessaire pour exploiter ce type de vulnérabilité.
Deux menaces sont les plus courantes en matière de sécurité WordPress
Le rapport a confirmé ce que nous savions déjà : les informations d’identification faibles des utilisateurs et les plugins annulés sont la porte d’entrée de la majorité des attaques.
Cela signifie que les administrateurs de site peuvent éviter la plupart des problèmes de sécurité en gardant les logiciels à jour et en exigeant une authentification forte.
Plus de 20 % des vulnérabilités ne nécessitaient aucune authentification
L'équipe WPScan examine les vulnérabilités pour déterminer le niveau d'authentification requis pour exploiter le code affecté. Alors qu'environ un tiers de toutes les vulnérabilités nécessiteraient l'accès à un compte administrateur (réduisant le risque d'exploitation), 22 % des vulnérabilités divulguées ne nécessiteraient absolument aucune authentification ou simplement un compte au niveau de l'abonné.
Les attaques de logiciels malveillants restent répandues
Jetpack Scan (qui utilise la base de données WPScan) a identifié un nombre impressionnant de 70 000 sites contenant au moins un fichier malveillant. La plupart des causes peuvent être attribuées soit (vous l'aurez deviné !) à des informations d'identification divulguées/faibles, soit à un logiciel annulé.
75 % (600 000 fichiers malveillants) ont été déterminés comme étant des logiciels malveillants génériques.
Les outils existants fonctionnent
Le pare-feu Jetpack a bloqué plus de sept millions de requêtes impliquant une vulnérabilité de haute gravité, empêchant ainsi d'innombrables attaques XSS sur des sites menacés.
Le rapport indique,
Le pare-feu Jetpack, bien qu'un ajout récent à la suite Jetpack Security , fait ses preuves en bloquant les attaques potentielles dès le début du cycle, empêchant ainsi les attaquants de prendre pied sur les sites protégés.
Le pare-feu Jetpack a également bloqué plus d’un demi-million d’attaques par injection SQL et Path Traversal.
Que devraient faire ensuite les professionnels de la cybersécurité et de WordPress ?
Vous ne pouvez pas empêcher les attaques si vous ne savez pas quoi chercher. WPScan fournit la bibliothèque de menaces vérifiées la plus robuste et la plus à jour. Les développeurs et les professionnels de la cybersécurité peuvent l'intégrer dans leurs programmes internes via une API pour renforcer leurs défenses.
Les équipes de sécurité Web peuvent également utiliser le scanner CLI de WPScan dans le cadre des tests d'intrusion. Il fournit un regard extérieur sur les informations que les pirates peuvent être en mesure de consulter sur votre site sans authentification.
Les développeurs et les entreprises doivent contacter WPScan immédiatement pour voir s'il s'agit du meilleur outil pour leur fonctionnement.
Que devraient faire ensuite les propriétaires de sites WordPress ?
L'évaluation par WPScan de l'écosystème de sécurité WordPress démontre que les menaces persistent. La bonne nouvelle est que les plus répandues peuvent être contrecarrées assez facilement. Les propriétaires de sites WordPress peuvent utiliser la base de données WPScan via Jetpack Protect et accéder à une suite complète d'outils de prévention et de récupération avec Jetpack Security.
Appliquer une authentification forte
Les mots de passe faibles constituent non seulement la faiblesse la plus courante en matière de cybersécurité, mais aussi l’une des plus faciles à corriger. Vous pouvez exiger des utilisateurs des mots de passe forts et former votre équipe aux meilleures pratiques en matière de mots de passe, comme l'utilisation d'un mélange de chiffres, de lettres et de caractères spéciaux, la possession d'informations d'identification uniques pour chaque site et la mise à jour régulière des mots de passe.
Vous souhaiterez peut-être également exiger une authentification à deux facteurs, en particulier sur les comptes de niveau administrateur.
Attribuez les rôles d'utilisateur appropriés et suivez le principe du moindre privilège
Les rôles d'utilisateur WordPress sont puissants car ils vous permettent d'accorder l'accès à des fonctions spécifiques en fonction du domaine de responsabilité d'une personne. Limiter le nombre de rôles de haut niveau attribués réduit le nombre de points d'accès et permet une plus grande éducation et responsabilité concernant les mots de passe et l'authentification sécurisée.
Connu sous le nom de principe du moindre privilège, les utilisateurs ne devraient avoir accès qu'au rôle le plus bas requis pour leurs fonctions professionnelles nécessaires.
Gardez le noyau, les thèmes et les plugins à jour
Avec les mots de passe faibles, les logiciels obsolètes constituent la cause la plus courante des attaques réussies. Votre site doit utiliser la version la plus récente du noyau WordPress, de votre thème et de tous les plugins installés.
Au fur et à mesure que des vulnérabilités sont découvertes, des développeurs de plugins réputés publieront des mises à jour pour les corriger. Ignorer ces mises à jour laisse votre site exposé.
Installez un plugin de sécurité WordPress
Pour la protection la plus complète, les propriétaires de sites doivent aller au-delà des mots de passe forts, des logiciels mis à jour et de l'attribution appropriée des rôles d'utilisateur. Les professionnels vétérans de WordPress savent que le bon plugin de sécurité WordPress aidera à prévenir les intrusions et fournira des options de récupération en cas de réussite.
Si vous souhaitez une protection complète avec un minimum de complications, Jetpack Security est la solution dont vous avez besoin. Voici quelques-uns de ce qui est inclus :
- Surveillance des temps d'arrêt . Sachez dès la seconde où il y a un problème avec votre site afin de pouvoir prendre des mesures immédiates.
- Un pare-feu de site Web . Le rapport de WPScan mentionne à plusieurs reprises des attaques déjouées par le pare-feu de Jetpack. Accédez-y avec Jetpack Security.
- Analyse des logiciels malveillants en temps réel et correctifs en un clic . Accédez à la base de données complète de WPScan et analysez en permanence votre site à la recherche de logiciels malveillants et de vulnérabilités. Mieux encore, vous obtiendrez également des solutions en un clic pour la majorité des problèmes.
Vous n'avez pas besoin d'un plugin de sécurité complet, mais souhaitez accéder à la base de données de WPScan pour l'analyse des vulnérabilités et des logiciels malveillants ? Ces fonctionnalités sont également disponibles dans un plugin autonome, Jetpack Protect .
- Sauvegardes en temps réel . N’oubliez pas que vous avez également besoin d’une méthode de récupération au cas où un attaquant réussirait. Jetpack VaultPress Backup enregistre tout sur votre site et enregistre toutes les activités. Restaurez à un moment précis et consultez votre journal pour dépanner et éviter de futurs problèmes. Vous pouvez accéder et restaurer les sauvegardes même si votre site est complètement en panne, depuis votre appareil mobile.
- Protection contre les spams . Les commentaires indésirables et non pertinents et les soumissions de formulaires sont plus qu'ennuyants : ils sont dangereux pour vous et vos visiteurs. Jetpack Security est livré avec Akismet Anti-spam afin que vous puissiez empêcher 99 % du spam sans obliger les visiteurs à remplir un CAPTCHA aggravant.
- Protection contre les attaques par force brute . Les attaques par force brute sont une menace WordPress assez courante. Ils peuvent également être facilement arrêtés avec Jetpack Security.
Jetpack et WPScan : travailler ensemble pour un WordPress plus sûr
L'équipe de WPScan travaille sans relâche pour maintenir la base de données la plus précise des vulnérabilités WordPress. Les professionnels WordPress et les entreprises peuvent intégrer les outils WPScan pour bénéficier de la protection la plus avancée disponible.
Les propriétaires de sites WordPress accèdent à ces mêmes informations via Jetpack Security, ainsi que d'autres outils de sécurité. Ce plugin de sécurité fonctionne simplement avec un minimum de tracas et d'efforts continus. Votre site est simplement protégé .
En savoir plus sur la sécurité Jetpack.
En savoir plus sur WPScan.