582 problèmes de sécurité WordPress détectés en 2020, plus de 96% provenant d'extensions tierces

Patchstack, qui a récemment changé de nom de WebARX, a publié son livre blanc sur la sécurité 2020. Le rapport a identifié un total de 582 vulnérabilités de sécurité. Cependant, seuls 22 des problèmes provenaient de WordPress lui-même. Les plugins et thèmes tiers représentaient les 96,22% restants.

« Ce sont tous des problèmes de sécurité révélés par l’équipe de recherche interne de Patchstack, la communauté Patchstack Red Team, par des fournisseurs de sécurité tiers et par d’autres chercheurs indépendants en sécurité », a déclaré Oliver Sild, fondateur et PDG de Patchstack. « Cela inclut donc toutes les informations publiques sur les vulnérabilités. »

Patchstack est une société de sécurité qui se concentre sur les extensions tierces de WordPress. Sa base de données de vulnérabilités est publique et accessible à tous.

Au deuxième trimestre de 2020, Patchstack a interrogé près de 400 développeurs Web, pigistes et agences sur la sécurité Web. « Plus de 70% ont répondu qu’ils étaient de plus en plus inquiets pour la sécurité de leur site Web, et la principale raison était les » vulnérabilités des plugins tiers «  », selon le livre blanc. « Environ 45% des répondants ont constaté une augmentation des attaques contre les sites Web qu’ils géraient, et 25% ont dû faire face à un site Web piraté dans le mois précédant leur participation à l’enquête. »

En tête du classement, 211 des vulnérabilités trouvées étaient des problèmes de Cross-Site Scripting (XSS), soit 36,2% du total.

« XSS dans les plugins WordPress se produit presque toujours parce que les données d’entrée de l’utilisateur sont directement imprimées sur l’écran sans aucune désinfection », a déclaré Sild. « Esc_html serait utilisé pour convertir certains caractères en leurs entités HTML, il sera donc littéralement imprimé à l’écran. Ensuite, vous avez également esc_attr pour les variables d’entrée utilisateur, qui doivent être utilisées dans les attributs HTML. Il existe de nombreuses bonnes ressources publiées par OWASP (The Open Web Application Security Project), telles que « Secure Coding Practices ».  »

Les vulnérabilités d’injection se classent au deuxième rang avec 70 cas uniques. Il a été suivi de 38 problèmes de falsification de demandes intersites (CSRF) et de 29 cas d’exposition de données sensibles.

« Les vulnérabilités trouvées dans les plugins et les thèmes ont tendance à être plus graves que celles trouvées dans le cœur de WordPress », a écrit Sild dans le livre blanc. « Ce qui aggrave les choses, c’est que de nombreux plugins populaires ont des millions d’installations actives, et les chiffres ne sont pas jolis quand on regarde combien de sites Web sont affectés par les plugins vulnérables. »

Le nombre total d’installations de thèmes et de plugins actifs et vulnérables tout au long de l’année était de 70 millions. Selon WordCamp Central, WordPress est installé sur 75 millions de sites Web. De nombreux sites avaient probablement plus d’un plugin vulnérable en 2020 au lieu de 70 millions de sites individuels à risque.

Patchstack a sondé 50000 sites Web et a constaté qu’ils contenaient en moyenne 23 plugins actifs à la fois. Environ quatre sur chaque site étaient obsolètes avec une mise à niveau disponible, ce qui augmente souvent le risque d’un problème de sécurité.

Les plugins WordPress représentaient 478 vulnérabilités dans le rapport. Cependant, il n’y avait que 82 numéros thématiques uniques. Bien que les thèmes aient généralement une portée beaucoup plus limitée, ils peuvent faire tout ce qu’un plugin peut faire à quelques exceptions près.

Il n’est pas surprenant de voir ce nombre plus bas pour les thèmes. Cependant, il faut se demander si le plan en cours pour assouplir les directives de révision de l’annuaire de thèmes WordPress.org en tiendra compte dans l’année ou les deux à venir. Actuellement, les réviseurs de l’annuaire officiel effectuent des vérifications de code approfondies qui sont plus susceptibles de détecter les problèmes avant que les thèmes ne parviennent aux utilisateurs. Si le compromis est une meilleure automatisation, cela pourrait également signifier des normes de codage plus strictes et moins de problèmes de sécurité que les examinateurs humains pourraient manquer.

« Les vulnérabilités du code tiers restent l’une des plus grandes menaces pour les sites Web construits sur WordPress », a conclu Sild dans le rapport. « Nous constatons déjà une croissance des vulnérabilités uniques signalées dans les plugins et thèmes WordPress comparant 2020 avec le début de 2021. »

Comme ça :

J’aime chargement..