Une augmentation de 328% de bugs de sécurité détectés, dans les plugins WordPress en 2022

L’outil de maintenance et de gestion de la sécurité Patchstack a publié son livre blanc « State of WordPress Security » pour 2022. Ce dernier met en évidence le risque d’utiliser des thèmes et des plugins non maintenus.

En 2022, Patchstack a ajouté à sa base de données 4 528 bogues de sécurité confirmés, contre 1 382 en 2021. Ce qui correspond à une augmentation de 328 %. Les plugins à eux seuls comptabilisent la majorité de ces bugs détectés, soit 93 %.

L’écosystème WordPress toujours mieux sécurisé

Le rapport souligne que l’augmentation du nombre de vulnérabilités signalées est plutôt une bonne nouvelle. Cela signifie que l’écosystème WP gagne en sécurité sur la détection et la correction d’un plus grand nombre de vulnérabilités.

 Les vulnérabilités de sévérité moyenne sont majoritaires selon l'étude Patchstack
Les vulnérabilités de sévérité moyenne sont majoritaires © Patchstack

Une vulnérabilité de gravité moyenne est une faille de sécurité qui peut être exploitée par un pirate pour accéder à des données sensibles ou prendre le contrôle du système. Bien que moins critiques que les vulnérabilités de gravité élevée, elles nécessitent toutefois une action rapide pour minimiser les risques de sécurité.

Répartition des bugs de sécurité WordPress par type selon l'étude Patchstack de 2022
Répartition des bugs de sécurité par type © Patchstack

Ces chiffres proviennent de données publiques de Patchstack, de Automattic (WPscan) et de WordFence, les trois CNA (CVE Numbering Authority) officiels de l’espace WordPress qui sont autorisés à attribuer des identifiants CVE (Common Vulnerabilities and Exposures) aux nouvelles vulnérabilités de sécurité.

Une autre amélioration réside dans nombre de bugs de sécurités critiques détectés qui n’ont jamais reçu de correctif. Leur pourcentage est passé de 26 à 29 % entre 2021 et 2022.

Le PDG de Patchstack, Oliver Sild a précisé : « Nous pensons toujours que cela montre un gros problème, à savoir que certains plugins ne sont pas pris en charge ou abandonnés et ne reçoivent pas de correctifs en temps opportun« .

Quid des plugins abandonnés ?

Résoudre le problème des développeurs qui abandonnent leur travail est un véritable défi à relever. S’il est normal qu’un projet puisse s’arrêter, son développeur devrait avoir à l’esprit que certains vont continuer à utiliser le fruit de son travail.

Le problème est que les utilisateurs sont laissés dans l’ignorance la plupart du temps. WordPress annonce les mises à jour disponibles. En revanche, si WordPress.org « ferme » un plugin en raison d’un problème de sécurité non corrigé, personne ne le sait.

Des failles critiques aussi parmi les plugins les plus populaires

On retrouve aussi des bugs de sévérité critique parmi les plugins les plus populaires (plus d’un million d’installations). Même si les développeurs de ces plugins corrigent rapidement les failles, il convient de rester vigilant et de bien procéder aux mises à jours de vos plugins.

Capture d'écran des failles trouvées sur les plugins les plus populaires - Étude Patchstack 2022
Capture d’écran des failles trouvées sur les plugins les plus populaires -Étude Patchstack 2022 © Patchstack

Et les solutions ?

« C’est quelque chose que nous essayons d’améliorer avec nos partenaires tels que d’autres plugins de sécurité et des sociétés d’hébergement » déclare Oliver Sild, et de rajouter : « La communication est la clé. Nous avons récemment créé un service gratuit pour les développeurs de plugins appelé Programme de Divulgation de Vulnérabilité Géré (mVDP).« 

Le but de ce service est d’inciter les développeurs de plugins à acquérir de la maturité dans les pratiques de sécurité. Cela permettra aussi de montrer leur engagement dans ce sens aux utilisateurs.

Pour conclure, rajoutons que la ventilation des bugs de sécurité par gravité est instructive. En 2022, 84 % des vulnérabilités étaient taxées de gravité moyenne. Les vulnérabilités de gravité élevée on représenté 11 % et seulement 2 % ont figuré dans la partie la plus problématique, à savoir les vulnérabilité de gravité critique.

Soyez toujours attentifs lors du choix de vos plugins et n’oubliez surtout pas de faire les mises à jour !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *