Plugins pour WordPress, ou plus spécifiquement – gratuits Plugins WordPresssont une véritable soupe primordiale de failles et de vulnérabilités, dont beaucoup permettent aux acteurs de la menace de prendre complètement le contrôle du site Web cible, et dont beaucoup – ne sont jamais corrigés.
C’est la sombre conclusion d’un rapport de Patchstack, une société qui fournit des renseignements sur les menaces et des outils de sécurité pour les utilisateurs populaires. Générateur de site Web Plate-forme.
Selon le rapport, le nombre de vulnérabilités liées à WordPress a augmenté de 150 % en 2021 par rapport à l’année précédente. Parmi ces vulnérabilités, seulement 0,58 % se trouvent dans le cœur de WordPress, le véritable constructeur de sites Web. Plus de neuf sur dix (91,38%) se trouvaient dans des plugins gratuits, et 8,62% dans des plugins commerciaux.
XSS le défaut le plus populaire
Près d’un tiers (29%) des failles critiques trouvées dans les plugins WordPress ne sont jamais corrigées. La bonne nouvelle est que les plugins qui ne sont pas corrigés sont finalement jetés hors du référentiel de plugins. Le rapport indique que neuf plugins n’ont jamais reçu de correctifs et ont ensuite été supprimés.
L’année dernière, la société a découvert cinq vulnérabilités de gravité critique, affectant un total de 55 Thèmes WordPress (s’ouvre dans un nouvel onglet). L’un d’eux a abusé des fonctionnalités de téléchargement de fichiers, ce qui était une découverte particulièrement dangereuse. Parmi les plugins, Patchstack a trouvé 35 vulnérabilités critiques, dont deux étaient présentes dans quatre millions de sites Web.
Patchstack a en outre découvert que la faille la plus fréquemment signalée était le cross-site scripting (XSS), suivi de la falsification de requêtes intersites « mixtes », des injections SQL et des téléchargements de fichiers arbitraires.
Le site WordPress moyen a 18 composants installés, dont au moins un contient une vulnérabilité dangereuse. Le rapport indique que le nombre est en baisse par rapport à la moyenne de 23 plugins installés l’année précédente.
De tous les plugins vulnérables, les cibles les plus populaires l’année dernière étaient OptinMonster, PublishPress Capabilities, le plugin Booster for WooCommerce et le plugin Image Hover Effects Ultimate.
Près de la moitié (43,2%) de tous les sites Web sur Internet sont alimentés par WordPress.
Passant par: BipOrdinateur (s’ouvre dans un nouvel onglet)
— to www.techradar.com