Le nouveau rapport vulnérabilitéLes tendances WordPress 2024 de WPScan mettent en lumière les tendances importantes dont les webmasters (et les référenceurs) WordPress doivent être conscients pour garder une longueur d'avance. ασφάλεια de leurs sites Internet.
Le rapport souligne que même si les taux de vulnérabilités critiques sont faibles (seulement 2,38 %), les résultats ne devraient pas rassurer les propriétaires de sites Web. Près de 20 % des vulnérabilités signalées sont classées comme étant de niveau de menace élevé ou critique, tandis que les vulnérabilités de gravité moyenne constituent la majorité (67,12 %). Il est important de réaliser que les vulnérabilités modérées ne doivent pas être ignorées car elles peuvent être exploitées par les plus avisés.
Le rapport ne critique pas les utilisateurs pour les logiciels malveillants et les vulnérabilités. Il souligne cependant que certaines erreurs commises par les webmasters peuvent permettre aux pirates d’exploiter plus facilement les vulnérabilités.
Une conclusion importante est que 22 % des vulnérabilités signalées ne nécessitent même pas d’informations d’identification de l’utilisateur ou nécessitent uniquement les informations d’identification de l’abonné, ce qui les rend particulièrement dangereuses. En revanche, les vulnérabilités qui nécessitent des droits d'administrateur pour être exploitées représentent 30,71 % des vulnérabilités signalées.
Le rapport souligne également les dangers des mots de passe volés et des plugins annulés. Les mots de passe faibles peuvent être piratés par des attaques par force brute, tandis que les plugins annulés, qui sont essentiellement des copies illégales de plugins sans contrôle d'abonnement, contiennent souvent des failles de sécurité (portes dérobées) qui permettent l'installation de logiciels malveillants.
Il est également important de noter que les attaques Cross-Site Request Forgery (CSRF) représentent 24,74 % des vulnérabilités nécessitant des privilèges administratifs. Les attaques CSRF utilisent des techniques d'ingénierie sociale pour inciter les administrateurs à cliquer sur un lien malveillant, donnant ainsi aux attaquants un accès administrateur.
Selon le rapport WPScan, le type de vulnérabilité le plus courant qui nécessite peu ou pas d'authentification des utilisateurs est le contrôle d'accès brisé (84,99 %). Ce type de vulnérabilité permet à un attaquant d’accéder à des privilèges de niveau supérieur à celui dont il dispose normalement. Un autre type de vulnérabilité courant est le piratage SQL (20,64 %), qui peut permettre à des attaquants d'accéder ou de falsifier la base de données WordPress.
