Les plugins WordPress, et plus particulièrement les plugins WordPress gratuits, sont une véritable soupe primordiale de bogues et de vulnérabilités, dont beaucoup permettent aux acteurs de la menace de prendre le contrôle total du site web cible, et dont beaucoup ne sont jamais corrigés.
C’est la triste conclusion d’un rapport de Patchstack, une société qui fournit des renseignements sur les menaces et des outils de sécurité pour la célèbre plateforme de création de sites web.
Selon le rapport, le nombre de vulnérabilités liées à WordPress en 2021 a augmenté de 150 % par rapport à l’année précédente. Parmi ces vulnérabilités, seulement 0,58 % se trouvent dans le noyau de WordPress, le créateur de sites Web lui-même. Plus de neuf sur dix (91,38 %) sont dans des plugins gratuits et 8,62 % dans des plugins commerciaux.
XSS, le bug le plus populaire
Près d’un tiers (29 %) des bogues critiques découverts dans les plugins WordPress ne sont jamais corrigés. La bonne nouvelle est que les plugins qui ne sont pas corrigés sont rejetés par le référentiel de plugins. Le rapport montre que neuf plugins n’ont pas reçu de correctifs et ont été supprimés en conséquence.
L’année dernière, la société a découvert cinq vulnérabilités critiques affectant un total de 55 thèmes WordPress. L’un d’eux a abusé des fonctions de téléchargement de fichiers, une découverte particulièrement dangereuse. Parmi les plugins, Patchstack a trouvé 35 vulnérabilités critiques, dont deux étaient présentes dans quatre millions de sites web.
Patchstack a également constaté que la vulnérabilité la plus fréquemment signalée était le cross-site scripting (XSS), suivi par la contrefaçon de requêtes intersites “mixte”, les injections SQL et les téléchargements de fichiers arbitraires.
Un site WordPress moyen compte 18 composants installés, dont au moins un contient une vulnérabilité dangereuse. Selon le rapport, ce chiffre est inférieur à la moyenne de 23 plugins installés l’année précédente.
Parmi tous les plugins vulnérables, les cibles les plus populaires l’année dernière étaient OptinMonster, PublishPress Capabilities, Booster for WooCommerce plugin et Image Hover Effects Ultimate plugin.
Près de la moitié (43,2 %) de tous les sites web de l’internet fonctionnent avec WordPress.