En 2016, WordPress a été le CMS le plus ciblé par les cyberattaques, selon une étude menée par la société de sécurité Sucuri. Deux ans plus tard, le CMS a vu le nombre de vulnérabilités qui lui sont liés tripler.
Dans l’étude précédente, plusieurs facteurs ont été remis en cause pour leur implication dans la mise à mal de la sécurité, notamment le déploiement, la configuration et la maintenance entreprise par les webmasters ou l’hébergeur. Mais une nouvelle étude pointe du doigt les plugins comme principale source de vulnérabilités de WordPress.
A vrai dire, un CMS maintenu constamment à jour ne constitue pas un problème. C’est quand l’installation est hautement personnalisée qu’il devient difficile de maintenir la sécurité, et en même temps, le risque d’être piraté augmente de façon proportionnelle.
Pour WordPress, le risque est encore plus élevé puisque le CMS propulse près de 30 % des sites de la toile, un pourcentage de taille qui fait qu’il existe un large nombre de victimes potentielles, un facteur important qui attire les hackers de tous poils.
En 2018, Imperva a enregistré 542 vulnérabilités associées à WordPress, trois fois plus que le nombre de 2017. Joomla et Drupal combinés ont été affectés par moins de 150 bogues. Un nombre moins élevé de bogues ne reflète pas vraiment le niveau de sécurité d’une plateforme, ça ne veut en aucun cas dire qu’elle est plus sécurisée ou non, la preuve en est les failles importantes qui ont permis aux attaquants de faire des attaques ravageantes contre les sites Drupal, on parle là de Drupalgeddon, Drupalgeddon 2 ou encore Kitty.
Le nombre de vulnérabilités par CMS
Comme à chaque fois pour Wordpress, les plugins sont remis en cause. Parmi les vulnérabilités recensées par Imperva, 2 % seulement sont liées au code de WordPress. Le reste se trouve au niveau des dizaines de milliers de plugins listés sur le site officiel du CMS.
Le top 10 des plugins vulnérables de WordPress
La nature open source de Wordpress et la volonté de différencier son site du lot, poussent les utilisateurs du CMS à recourir à des plugins en nombre. Or il n’existe pas de contrôles stricts de ces plugins, et des fois ils ne sont pas mis à jour pendant plusieurs mois, voire des années. Par conséquent, ils rendent la tâche facile aux hackers pour compromettre la sécurité des sites web.
Types d'attaques les plus en vogue contre WordPress (par année)
L’étude d’Imperva a relevé aussi une augmentation du nombre de vulnérabilités affectant les applications web. Selon les données présentées, 58 % des web apps sont concernées, et dans 38 % des cas, il n’existe pas de solution ou de correctif. Ce constat va de pair avec une autre étude de Kaspersky qui a trouvé que 73 % des brèches de sécurité dans les réseaux d'entreprises sont dues aux applications web. Parmi les attaques les plus utilisées en 2018, il y a les attaques par injection permettant l’exécution de code à distance, les injections SQL et Cross-site Scripting (XSS).