En tant que système de gestion de contenu de loin le plus populaire, WordPress alimente des millions de sites Web différents. C'est un logiciel open source, ce qui signifie que son code source est accessible au public et peut être modifié par à peu près n'importe qui ayant un savoir-faire suffisant.

Bien que les plugins et thèmes WordPress puissent être achetés, des dizaines de milliers d'entre eux sont disponibles gratuitement. Comme on pouvait s'y attendre, cela ne va pas sans inconvénients. Alors, à quel point les sites WordPress sont-ils vulnérables? Qu'en est-il de ses thèmes et plugins? Et comment pouvez-vous protéger vos sites ?

À quel point WordPress est-il vulnérable ?

En février 2022, Jet pack a découvert que les thèmes et plugins populaires du fournisseur AccessPress Themes (également connus sous le nom de Access Keys) étaient compromis. Les chercheurs ont repéré la vulnérabilité par accident, après avoir découvert un code suspect sur un site Web compromis. Après une enquête plus approfondie, ils ont réalisé que la plupart des plugins AccessPress et que chaque thème contenait le même code.

Il s'est avéré plus tard qu'AccessPress Themes avait été victime d'une cyberattaque en septembre 2021, des pirates injectant une porte dérobée dans les plugins du fournisseur et thèmes.

AccessPress a finalement mis à jour et nettoyé ses produits, mais vraisemblablement des milliers d'utilisateurs ont été vulnérables aux attaques pendant une longue période.

Les plugins et thèmes WordPress ont-ils des vulnérabilités ?

Les découvertes de Jetpack soulignent à quel point WordPress peut être vulnérable. Mais ce n'était pas un cas isolé.

En mars 2021, par exemple, Clôture des mots a révélé des vulnérabilités majeures dans deux plugins WordPress qui, si elles étaient exploitées avec succès, auraient permis à un attaquant de prendre le contrôle d'un site Web. Les vulnérabilités ont été découvertes dans les plugins Elementor et WP Super Cache. Elementor est un constructeur de sites Web utilisé sur plus de sept millions de sites Web, tandis que WP Super Cache est un plugin de mise en cache populaire.

En février 2022, comme Journal des moteurs de recherche signalé, la base de données des vulnérabilités du gouvernement des États-Unis et les chercheurs en sécurité de WordPress ont mis en garde contre de graves vulnérabilités dans des dizaines de plugins WordPress.

Parmi ces plugins, neuf ont été utilisés sur plus de 1,3 million de sites Web: Header Footer Code Manager, Ad Inserter—Ad Manager & AdSense Ads, Popup Builder, Anti-Malware Sécurité et pare-feu Brute-Force, protection contre la copie de contenu WP et aucun clic droit, sauvegarde de base de données pour WordPress, GiveWP, gestionnaire de téléchargement et base de données avancée Nettoyeur.

Comment sécuriser votre site WordPress

On pourrait supposer que ces vulnérabilités sont toujours corrigées ou supprimées une fois découvertes, mais ce n'est en fait pas le cas.

Recherche de Pile de patchs a constaté que 2021 a vu une augmentation de 150% des vulnérabilités WordPress signalées par rapport à 2020 - et 29% de ces vulnérabilités n'ont reçu aucun correctif. Patchstack a également constaté que seulement 0,58 % des failles signalées se trouvaient dans le cœur de WordPress, ce qui signifie que les vulnérabilités se trouvent presque toujours dans les plugins.

Il est essentiel de s'assurer que tous les plugins que vous utilisez sont à jour, ainsi que le noyau WordPress lui-même.

Avant de télécharger et d'installer un plugin, assurez-vous d'abord de faire quelques recherches. Vérifiez le nombre d'installations du plugin, lisez les avis en ligne, voyez quand il a été mis à jour pour la dernière fois et vérifiez s'il a été testé avec le dernier noyau WordPress. Cela ne prendra que quelques minutes, mais cela pourrait vous éviter bien des ennuis sur la route.

Alternativement, vous pouvez utiliser WPScan, qui est un scanner de vulnérabilité WordPress assez simple et efficace. Cet outil peut également être utilisé pour rechercher un plugin par son nom. La version gratuite permet jusqu'à 25 requêtes API par jour.

Heureusement, certains plugins sont en fait conçus pour protéger votre site WordPress des intrus. Login LockDown, Wordfence, BulletProof Security sont parmi les meilleurs Plugins de sécurité WordPress aujourd'hui. Login LockDown est entièrement gratuit, tandis que les deux autres ont des modèles de base gratuits.

Conseils de sécurité WordPress

Aussi vulnérable que WordPress puisse être, prendre des précautions de sécurité de base contribue grandement à prévenir et à repousser les cyberattaques.

L'utilisation d'informations de connexion uniques et d'une authentification à deux facteurs, la mise à jour de tous les logiciels, le masquage des noms de thème et les informations de connexion doivent être la base de votre hygiène de sécurité WordPress.

Comment sécuriser votre site WordPress en 5 étapes simples

Lire la suite

PartagerTweeterPartagerE-mail

Rubriques connexes

  • Sécurité
  • l'Internet
  • Sécurité en ligne
  • Modules Wordpress
  • WordPress
  • Thèmes WordPress

A propos de l'auteur

Damir Mujezinovic (23 articles publiés)

Damir est un écrivain et journaliste indépendant dont le travail se concentre sur la cybersécurité. En dehors de l'écriture, il aime la lecture, la musique et le cinéma.

Plus de Damir Mujezinovic

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner