Le rapport 2024 sur les vulnérabilités WordPress du scanner de sécurité WordPress WPScan attire l'attention sur les tendances en matière de vulnérabilité WordPress et suggère le type de choses auxquelles les éditeurs de sites Web (et les référenceurs) devraient prêter attention.
Certaines des principales conclusions du rapport étaient qu'un peu plus de 20 % des vulnérabilités étaient classées comme des menaces de niveau élevé ou critique, avec des menaces de gravité moyenne, soit 67 % des vulnérabilités signalées, soit la majorité. Beaucoup considèrent les vulnérabilités de niveau moyen comme s’il s’agissait de menaces de faible niveau et c’est une erreur car elles ne sont pas de faible niveau et devraient être considérées comme méritant une attention particulière.
Le rapport ne blâme pas les utilisateurs pour les logiciels malveillants et les vulnérabilités du site Web. Mais les erreurs commises par les éditeurs peuvent amplifier le succès des pirates exploitant les vulnérabilités.
Le rapport WPScan conseille :
« Bien que la gravité ne se traduise pas directement par le risque d'exploitation, il s'agit d'une ligne directrice importante pour les propriétaires de sites Web qui doivent prendre une décision éclairée quant au moment de désactiver ou de mettre à jour l'extension. »
Distribution de la gravité des vulnérabilités WordPress
Les vulnérabilités de niveau critique, soit le niveau de menace le plus élevé, ne représentaient que 2,38 % des vulnérabilités, ce qui est essentiellement une bonne nouvelle pour les éditeurs WordPress. Pourtant, comme mentionné précédemment, combiné aux pourcentages de menaces de haut niveau (17,68 %), le nombre de vulnérabilités préoccupantes s'élève à près de 20 %.
Voici les pourcentages par niveaux de gravité :
- Critique 2,38%
- Faible 12,83%
- Haut 17,68%
- Moyen 67,12%
Authentifié ou non authentifié
Les vulnérabilités authentifiées sont celles qui nécessitent qu'un attaquant obtienne d'abord les informations d'identification de l'utilisateur et les niveaux d'autorisation qui les accompagnent afin d'exploiter une vulnérabilité particulière. Les exploits qui nécessitent une authentification au niveau de l'abonné sont les plus exploitables des exploits authentifiés et ceux qui nécessitent un accès au niveau administrateur présentent le moins de risques (bien que ce ne soit pas toujours un risque faible pour diverses raisons).
Les attaques non authentifiées sont généralement les plus faciles à exploiter, car n'importe qui peut lancer une attaque sans avoir à acquérir au préalable un identifiant d'utilisateur.
Le rapport sur les vulnérabilités WPScan a révélé qu'environ 22 % des vulnérabilités signalées nécessitaient un niveau d'abonné ou aucune authentification du tout, ce qui représente les vulnérabilités les plus exploitables. À l’autre extrémité de l’échelle d’exploitabilité se trouvent les vulnérabilités nécessitant des niveaux d’autorisation d’administrateur représentant un total de 30,71 % des vulnérabilités signalées.
Logiciels annulés et mots de passe faibles
Les mots de passe faibles et les plugins annulés étaient deux raisons courantes pour lesquelles les logiciels malveillants étaient détectés via Jetpack Scan. Les logiciels annulés sont des plugins piratés qui avaient la capacité de valider s'ils étaient payés pour être bloqués. Ces plugins avaient tendance à avoir des portes dérobées qui permettaient les infections par des logiciels malveillants. Les mots de passe faibles peuvent être devinés grâce à des attaques par force brute.
Le rapport WPScan explique :
« Les attaques de contournement d'authentification peuvent impliquer diverses techniques, telles que l'exploitation des faiblesses des mots de passe faibles, la tentative de deviner les informations d'identification, le recours à des attaques par force brute pour deviner les mots de passe, le recours à des tactiques d'ingénierie sociale telles que le phishing ou le prétexte, l'utilisation de techniques d'élévation de privilèges telles que l'exploitation de vulnérabilités connues dans périphériques logiciels et matériels ou en essayant les connexions de compte par défaut.
Niveaux d'autorisation requis pour les exploits
Les vulnérabilités nécessitant des informations d'identification de niveau administrateur représentaient le pourcentage le plus élevé d'exploits, suivies par Cross Site Request Forgery (CSRF) avec 24,74 % des vulnérabilités. Ceci est intéressant car CSRF est une attaque qui utilise l'ingénierie sociale pour amener une victime à cliquer sur un lien à partir duquel les niveaux d'autorisation de l'utilisateur sont acquis. Il s’agit d’une erreur dont les éditeurs WordPress doivent être conscients, car il suffit qu’un utilisateur de niveau administrateur suive un lien qui permet ensuite au pirate informatique d’assumer les privilèges de niveau administrateur sur le site Web WordPress.
Voici les pourcentages d'exploits classés par rôles nécessaires pour lancer une attaque.
Ordre croissant des rôles d'utilisateur pour les vulnérabilités
- Auteur 2,19%
- Abonné 10,4%
- Non authentifié 12,35%
- Contributeur 19,62%
- CSRF 24,74%
- Administrateur 30,71%
Types de vulnérabilités les plus courants nécessitant une authentification minimale
Le contrôle d'accès brisé dans le contexte de WordPress fait référence à une faille de sécurité qui peut permettre à un attaquant sans les informations d'identification nécessaires d'accéder à des autorisations d'identification plus élevées.
Dans la section du rapport qui examine les occurrences et les vulnérabilités sous-jacentes aux vulnérabilités non authentifiées ou au niveau de l'abonné signalées (rapports Occurrence vs Vulnérabilité sur les rapports non authentifiés ou Abonné+), WPScan détaille les pourcentages pour chaque type de vulnérabilité le plus courant pour les exploits les plus simples. pour se lancer (car ils nécessitent peu ou pas d'authentification des informations d'identification de l'utilisateur).
Le rapport sur les menaces WPScan indique que le contrôle d'accès brisé représente un énorme 84,99 %, suivi de l'injection SQL (20,64 %).
L’Open Worldwide Application Security Project (OWASP) définit le contrôle d’accès brisé comme :
« Le contrôle d'accès, parfois appelé autorisation, est la manière dont une application Web accorde l'accès au contenu et aux fonctions à certains utilisateurs et pas à d'autres. Ces contrôles sont effectués après authentification et déterminent ce que les utilisateurs « autorisés » sont autorisés à faire.
Le contrôle d’accès semble être un problème simple, mais il est insidieusement difficile à mettre en œuvre correctement. Le modèle de contrôle d'accès d'une application Web est étroitement lié au contenu et aux fonctions proposées par le site. De plus, les utilisateurs peuvent appartenir à un certain nombre de groupes ou de rôles dotés de capacités ou de privilèges différents.
L'injection SQL, avec 20,64 %, représente le deuxième type de vulnérabilité le plus répandu, que WPScan a qualifié à la fois de « gravité et risque élevés » dans le contexte de vulnérabilités nécessitant des niveaux d'authentification minimaux car les attaquants peuvent accéder et/ou altérer la base de données qui est la base de données. cœur de chaque site WordPress.
Voici les pourcentages :
- Contrôle d'accès cassé 84,99%
- Injection SQL 20,64 %
- Scripts intersites 9,4 %
- Téléchargement de fichiers arbitraires non authentifiés 5,28 %
- Divulgation de données sensibles 4,59 %
- Référence d'objet direct non sécurisée (IDOR) 3,67 %
- Exécution de code à distance 2,52 %
- Autres 14,45%
Vulnérabilités dans le noyau WordPress lui-même
L’écrasante majorité des problèmes de vulnérabilité ont été signalés dans des plugins et des thèmes tiers. Cependant, en 2023, 13 vulnérabilités au total ont été signalées dans le noyau WordPress lui-même. Sur les treize vulnérabilités, une seule a été classée comme menace de gravité élevée, soit le deuxième niveau le plus élevé, Critique étant la menace de vulnérabilité de niveau le plus élevé, un système de notation maintenu par le Common Vulnerability Scoring System (CVSS).
La plate-forme principale WordPress elle-même est soumise aux normes les plus élevées et bénéficie d'une communauté mondiale vigilante dans la découverte et la correction des vulnérabilités.
La sécurité du site Web doit être considérée comme du référencement technique
Les audits de sites ne couvrent normalement pas la sécurité des sites Web, mais à mon avis, tout audit responsable devrait au moins parler des en-têtes de sécurité. Comme je le dis depuis des années, la sécurité des sites Web devient rapidement un problème de référencement une fois que le classement d'un site Web commence à disparaître des pages de résultats des moteurs de recherche (SERP) en raison d'une vulnérabilité. C'est pourquoi il est essentiel d'être proactif en matière de sécurité des sites Web.
Selon le rapport WPScan, le principal point d’entrée des sites Web piratés était la fuite d’informations d’identification et de mots de passe faibles. Garantir des normes de mot de passe strictes et une authentification à deux facteurs est un élément important de la stratégie de sécurité de chaque site Web.
L’utilisation d’en-têtes de sécurité est un autre moyen de se protéger contre les scripts intersites et d’autres types de vulnérabilités.
Enfin, un pare-feu WordPress et le renforcement des sites Web sont également des approches proactives utiles en matière de sécurité des sites Web. Une fois, j'ai ajouté un forum à un tout nouveau site Web que j'avais créé et il a été immédiatement attaqué en quelques minutes. Croyez-le ou non, pratiquement tous les sites Web dans le monde sont attaqués 24 heures sur 24 par des robots recherchant des vulnérabilités.
Lisez le rapport WPScan :
Rapport sur les menaces des sites Web WPScan 2024