Si vous possédez (ou faites partie d’) un site Web, un blog ou quelque chose entre les deux, il y a de fortes chances que vous ayez utilisé WordPress au moins une fois. Même l’article que votre serviteur est en train de taper en ce moment est propulsé par WordPress.
Et si vous avez effectivement utilisé WordPress, il y a de fortes chances que vous connaissiez la pléthore de plug-ins tiers ou créés par des utilisateurs qui sont facilement disponibles sur la plate-forme, pour rendre votre site Web plus interactif et plus facile à utiliser.
Cependant, tout n’est pas aussi doux qu’il y paraît, car un rapport a révélé que près de 98% de toutes les vulnérabilités auxquelles la plate-forme est soumise (ce qui est un grand nombre en soi), résultent de ces plug-ins eux-mêmes.
Attention lors de l’utilisation de plug-ins
Il y a apparemment deux raisons principales aux problèmes de sécurité liés à l’utilisation des plug-ins WordPress. Le premier d’entre eux est que le protocole de sécurité du service peut ne pas être applicable à ces bibliothèques PHP tierces. De plus, les codes qui ont servi à créer un plug-in sont facilement visibles, et les pirates, bien sûr, sont des experts pour les décoder.
Cela implique que les utilisateurs qui s’appuient sur des plug-ins rendent les codes de leurs sites Web facilement accessibles, les laissant vulnérables au piratage. Le problème est aggravé car WordPress est open source, permettant aux pirates de détecter les URL des points de terminaison et de savoir exactement comment injecter des scripts indésirables.
Comment êtes-vous affecté ?
Les plug-ins peuvent entraîner de nombreux types de vulnérabilités différentes, et certaines d’entre elles sont décrites ici. Les injections SQL sont très courantes, car WordPress utilise des opérateurs de concaténation pour lier des valeurs dans les requêtes SQL. Un autre type est File Exclusion Exploits, dans lequel les pirates peuvent injecter des logiciels malveillants directement dans les serveurs et les pirater, ce qui représente un danger majeur. Les attaques par force brute font partie des techniques de piratage les plus simples, où le pirate informatique s’introduit simplement dans votre compte en devinant votre nom d’utilisateur et votre mot de passe.
Crédits image : PCMag
Bien qu’aucune technologie infaillible ne soit actuellement disponible pour bloquer toutes les vulnérabilités, on peut toujours s’assurer qu’elles n’utilisent que les versions mises à jour des plug-ins, et cela aussi, uniquement à partir de sources authentiques. De plus, de nombreuses solutions tierces sont disponibles pour tenir ces vulnérabilités à distance, de Bluetooth à Pantheon.