7966 nouvelles vulnérabilités WordPress découvertes en 2024

Selon un rapport récent de l’entreprise de sécurité WordPress Patchstack, 7966 nouvelles vulnérabilités affectant l’ecosystème WordPress, 96% impactant les plugins et 4% impactant les thèmes, seules sept des failles WordPress révélées l’année dernière concernaient le cœur de WordPress.

Les plugins restent les plus touchés

D’après Patchstack, malgré leur grand nombre, la plupart de ces vulnérabilités ne représentaient pas une menace active : 69,6% étaient considérées comme peu susceptibles d’être exploitées, 18,8% pouvaient être exploitées dans des attaques ciblées, et seulement 11,6% ont été exploitées ou étaient susceptibles de l’être.

Le score CVSS attribué à ces vulnérabilités raconte une histoire similaire : plus des deux tiers ont été classés comme de faible ou moyenne gravité, tandis qu’un tiers seulement était jugé de gravité élevée ou critique.

80% des vulnérabilité WordPress nécessitent des faibles ou aucun privilège utilisateur

Cependant, Patchstack souligne que 43% des vulnérabilités WordPress découvertes en 2024 pouvaient être exploitées sans authentification, bien que certaines nécessitaient l’interaction d’un utilisateur authentifié. Environ 43% des autres vulnérabilités nécessitaient que l’attaquant dispose de faibles privilèges, comme contributeur ou abonné, tandis que 12% exigeaient des privilèges plus élevés, tels qu’administrateur, auteur ou éditeur.

Près de la moitié des failles WordPress documentées l’année dernière étaient des failles de type XSS ou cross-site scripting (47,7%), suivies par des problèmes de contrôle d’accès insuffisant (14,19%) et des attaques par falsification de requêtes intersites (CSRF) (11,35%).

Des vulnérabilités même sur des plugins très connus

Un total de 1.018 failles ont été trouvées dans des plugins comptant plus de 100.000 installations, dont 115 dans des plugins ayant plus d’un million d’installations. Sept d’entre elles affectaient des plugins dépassant les 10 millions d’installations.

Patchstack souligne également que les développeurs de plugins WordPress doivent réagir plus rapidement pour améliorer la sécurité de leurs utilisateurs. L’année dernière, 33% des failles découvertes n’avaient pas été corrigées avant leur divulgation publique.

Plus de 500.000 sites infectés selon Sucuri

L’outil Sucuri a lui seul détecté plus de 500.000 sites web infectés en 2024. Cependant, ce chiffre ne représente que la partie visible du problème. Il est impossible d’évaluer l’ampleur réelle de la propagation des logiciels malveillants en se basant uniquement sur les données d’un seul fournisseur. De nombreux sites compromis passent inaperçus, ce qui signifie que le nombre total d’infections pourrait être bien plus élevé.

Toutefois, à travers cet échantillon, nous pouvons avoir un insight sur les attaques les plus communes:

• Le SEO Spam : une forme de malware qui exploite les techniques de référencement naturel (SEO) pour manipuler les résultats des moteurs de recherche. L’objectif est d’augmenter frauduleusement la visibilité de certains contenus, souvent en redirigeant le trafic légitime vers des sites malveillants ou non pertinents. Parmi ces attaques, le « Japanese SEO Spam » est le plus répandu, représentant 27,77 % des cas. Cette technique consiste à injecter du texte et des liens en japonais dans des sites vulnérables afin de promouvoir des produits contrefaits ou des sites de phishing.
• Les redirections malveillantes : elles détournent discrètement les utilisateurs de leur destination initiale vers des sites nuisibles ou trompeurs, exploitant souvent des failles dans le code ou les configurations des sites web, en 2024, 175.520 incidents impliquant des redirections malveillantes ont été recensés, utilisant diverses tactiques pour tromper et exploiter les internautes. Les faux raccourcisseurs d’URL représentent 20,38% des cas, en utilisant des liens courts trompeurs pour rediriger les utilisateurs vers des sites malveillants. Ces outils dissimulent des destinations dangereuses sous l’apparence d’URL légitimes, les rendant particulièrement difficiles à détecter.
• Publicités indésirables : Selon Sucuri, un total de 16.274 incidents ont été liés aux publicités indésirables, avec une grande diversité de tactiques utilisées par les attaquants. La menace la plus répandue est ProPush, représentant 48,11 % de tous les incidents liés aux publicités indésirables. Cette technique consiste souvent à tromper les utilisateurs pour qu’ils s’abonnent à des notifications push, les redirigeant ensuite vers des sites spammeurs ou malveillants.

Vulnérabilités WordPress : Pourquoi une nouvelle approche est essentielle

De nombreuses failles concernent des plugins abandonnés qui restent actifs sur des sites web en activité. Les pare-feu applicatifs (WAF) génériques ne suffisent pas à protéger WordPress. Lors de la faille critique de Bricks Builder, des attaques automatisées ont commencé quelques heures après sa divulgation. Les solutions WAF populaires comme Cloudflare ou ModSec ne détectent pas ces attaques car elles manquent de visibilité sur les plugins et les sessions utilisateurs.

Nos conseils pour une sécurité optimale :

• Effectuer les mises à jour périodiques du coeur de WordPress, des plugins et des thèmes installés, manuellement ou en activant les mises à jour automatiques depuis votre installation WordPress ou les outils WordPress Toolkit ou Softaculous que nous mettons à votre disposition sur cPanel.
• Télécharger vos plugins et thèmes depuis le site officiel WordPress.org, privilégiez les plugins les mieux classés, les plus utilisés, et ceux qui ont des mises à jour récentes.
• NE JAMAIS utiliser des plugin ou thèmes piratés, qui sont offerts gratuitement sur des sites de partages alors qu’ils ont des licences payantes, ils ne sont pas offerts gratuitement par hasard, car ils comportent dans la plupart des cas, des malwares ou code malveillant qui nuiront à votre site et à l’environnement d’hébergement Web.

Additionnellement, nous offrons sur tous nos packs d’hébergement mutualisé, la solution Imunify360, qui est entièrement automatisée et traite les vulnérabilités WordPress pour détecter les requêtes malveillantes, les injections de code et les logiciels malveillants, vous évitant ainsi d’avoir à arrêter les attaques manuellement, Imunify360 utilise un système sophistiqué pour bloquer les attaquants sans les alerter de leur blocage.