WordPress vulnérabilités supplémentaires détectées

WordPress : 150% de vulnérabilités supplémentaires détectées (2021)

Patchstack, spécialisé dans la cybersécurité, fait un état de la sécurité de WordPress en 2021 dans son livre blanc.

43% du web repose sur WordPress contre 39.5% en 2020. Malgré cette utilisation importante, les failles augmentent chaque année et 150% de vulnérabilités supplémentaires ont été détectées en 2021.

Découvrons ensemble les mauvaises pratiques à éviter sur WordPress !

Erreur 1 : Installer des thèmes amateur

Les thèmes permettent aux utilisateurs de créer plus facilement leur site web.
Cependant, si le thème est mal codé, cela peut créer des failles.
En 2021, la société Patchstark a identifié plus de 50 thèmes qui contiennent des failles de sécurité majeures et qui permettent aux pirates de s’installer sur vos serveurs.
Ces failles proviennent des fonctionnalités de téléchargement de fichiers proposés par ces thèmes WordPress amateurs.

Erreur 2 : Installer des plugins non sécurisés

En 2021, 35 vulnérabilités ont été signalées dans les plugins WordPress.
Il faut noter que 2 de ces vulnérabilités ont été identifiées dans des plugins qui ont plus d’un million d’installations à leur actif :

  • All in One SEO plugin : +3 millions de téléchargements
  • WP Fastest Cache plugin : 1+ million de téléchargements

Après avoir pris connaissance des failles de sécurité, les développeurs de ces plugins ont rapidement pris leurs responsabilités et ont apporté des correctifs.  Toutefois, ce n’est pas le cas pour tous les plugins puisqu’en 2021, 29% des plugins WordPress présentant des vulnérabilités critiques n’ont reçu aucun correctif de la part de leurs développeurs. C’est le cas pour :

  • Modern WPBakery Page Builder Addons
  • N5 Upload Form plugin
  • WP-Curriculo Vitae Free plugin
  • Imagements
  • Business Hours Pro
  • Gallery from files
  • TheCartPress
  • Car Seller – Auto Classifieds Script
  • Store Locator Plus Privilege Escalation

Vous devez alors, manuellement, vérifier si ces plugins sont installés sur votre site internet et les retirer ou trouver des alternatives.
Chez Fazaé, vous n’avez pas besoin d’installer de multiples plugins pour booster votre site internet !
Nous vous fournissons le Fazaé-WP Booster ainsi qu’un hébergement optimisé pour votre site WordPress afin d’augmenter la vitesse de chargement et la sécurité de votre site.

Les vulnérabilités les plus ciblées !

Voici le top 4 des vulnérabilités les plus ciblées :

  • OptinMonster <= 2.6.4 :
    REST-API non protégé contre la divulgation d’informations sensibles et l’accès non autorisé à l’API
  • Capacités de PublishPress <= 2.3
    Vulnérabilité de changement de paramètres non authentifié
  • Booster pour le plugin WooCommerce <= 5.4.3
    Vulnérabilité de contournement d’authentification
  • Plug-in Image Hover Effects Ultimate <= 9.6.1
    Mise à jour des options arbitraires non authentifiées

En conclusion, les failles de sécurité proviennent à 92.81% des plugins, à 6.61% des thèmes et 0.58% des fichiers présents au cœur de votre site WordPress.

Sur 50 000 sites analysés, nous constatons qu’un site possède en moyenne 18 composants différents (plugins et thèmes) installés. Pour chaque plugin supplémentaire installé sur votre site web, le risque d’être exposé à des failles de sécurité augmente.
Si votre site n’est pas à jour, cela accroit le risque.

En moyenne, 42% des sites WordPress ont au moins 1 composant vulnérable utilisé !

Un budget insuffisant pour sécuriser les sites WordPress

Selon l’enquête de Patchstack, 28% des entreprises interrogées n’ont aucun budget pour protéger leur site web.

Fazaé : sécurité et protection

Pour répondre à ces besoins de sécurité, nous avons mis en place une solution d’hébergement optimisé pour WordPress. Nos serveurs sont durcis pour ce CMS, un audit et des scans sons effectués régulièrement pour assurer une sécurité sans failles.
Afin d’éviter le téléchargement de plugins potentiellement dangereux, nous avons intégré des serveurs de cache ainsi qu’un CDN Fazaé pour permettre à vos données d’êtres affichées plus rapidement.
Boostez votre WordPress avec le Fazaé WP Booster !
Les serveurs sont supervisés 24h/24 et 7j/7, mis à jour quotidiennement et nos data-centers sont certifiés.

Fort de notre expérience dans des secteurs d’activité très variés, nous attachons aussi beaucoup d’importance à notre mission de conseil : sécurité de votre site web, protection des données…
Nos experts vous accompagnent lors des mises à jour de vos sites WordPress et nous sommes également en mesure de réaliser des audit de sécurité pour vérifier que votre site ne comporte aucune faille.
Notre équipe est sensibilisée à toutes les problématiques touchant à la cybersécurité pour que tous nos clients puissent avoir l’esprit tranquille ! Nous faisons de la sécurité de votre site web notre priorité.

Protégez-vous dès maintenant.

N’attendez plus, contactez-nous par téléphone au +33 4 27 46 38 40 ou par mail à contact@fazae.com