Le Wordfence 2022 Rapport sur l’état de la sécurité de WordPress a été publié le 24 janvier 2023. Un domaine que nous avons examiné dans ce rapport était les vulnérabilités divulguées en 2022. En gardant à l’esprit que certaines vulnérabilités affectaient plusieurs plugins, thèmes et cœur de WordPress, un total de 2 370 vulnérabilités ont été signalées en 2022. Les cinq principales catégories de vulnérabilités étaient Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), contournement d’autorisation, SQL Injection (SQLi) et divulgation d’informations. Alors que les statistiques résument ce qui était dans le rapport, l’histoire ne s’arrête pas là.
Le rapport montre certaines similitudes, ainsi que des différences notables, par rapport à l’année précédente. Ce n’est pas rare, car le développement de WordPress, à la fois pour le noyau et pour les plugins et les thèmes, inclut potentiellement des années de code hérité, ainsi qu’un code plus récent qui correspond aux normes de codage mises à jour. Cela a tendance à avoir pour effet d’augmenter le nombre de vulnérabilités potentielles, tout en créant de nouvelles façons pour les vulnérabilités d’exister.
Outre les changements de code, l’un des principaux facteurs de l’augmentation des rapports de vulnérabilité en 2022 était probablement le fait qu’il est de plus en plus facile pour les chercheurs de signaler les vulnérabilités. Comme mentionné dans notre rapport 2022, Wordfence, avec d’autres sociétés, est devenue une autorité de numérotation CVE (CNA) en 2021. Cela signifie qu’il y a plus de points de contact pour que les chercheurs soumettent les vulnérabilités nouvellement découvertes, et plus de bande passante pour le traitement des rapports de vulnérabilité. . Comme mentionné dans notre rapport, nous espérons continuer à amplifier cette tendance avec le lancement de Wordfence Intelligence Community Editionune base de données de vulnérabilité WordPress complète et gratuite.
2022 – Une année de croissance
Lorsque nous examinons les types de vulnérabilités suivies, il n’y a pas beaucoup de différence entre 2021 et 2022 en ce qui concerne les types les plus ou les moins courants qui ont été signalés. Ce qui a considérablement changé, c’est le volume de vulnérabilités signalées. Toutes les catégories, à l’exception des redirections ouvertes, ont augmenté en volume de 2021 à 2022. La baisse des rapports de redirection ouverts a été minime, car il n’y a eu qu’un seul rapport de moins en 2022 par rapport à 2021.
De 2021 à 2022, il y a eu quelques changements dans les cinq principales catégories de vulnérabilité qui ont été divulguées. Plus particulièrement, la divulgation d’informations a dépassé les téléchargements de fichiers pour la cinquième place, soulignant l’importance de la sécurisation des données protégées et sensibles. L’autre changement dans le top cinq est que les vulnérabilités CSRF ont plus que doublé pour dépasser les vulnérabilités de contournement d’autorisation – qui ont également presque doublé de 2021 à 2022.
2022 |
2021 |
||
Catégorie |
Compter |
Catégorie |
Compter |
| XSS | 1109 | XSS | 768 |
| CSRF | 377 | Contournement d’authentification | 186 |
| Contournement d’authentification | 301 | CSRF | 183 |
| SQLi | 200 | SQLi | 163 |
| Divulgation d’information | 73 | Téléchargement de fichiers | 42 |
Les vulnérabilités de téléchargement de fichiers sont un type dans les cinq premières catégories à partir de 2021 qui n’a pas été discuté dans le rapport 2022. Bien que ces vulnérabilités ne figurent plus parmi les cinq principales en 2022, elles sont tout de même passées de 42 rapports en 2021 à 48 rapports en 2022. Les vulnérabilités de téléchargement de fichiers restent un type de vulnérabilité courant à exploiter, car elles permettent aux attaquants potentiels de télécharger des fichiers qui fonctionnent comme souhaité. fonctions, impliquant généralement l’exécution de code. Cela inclut les webshells qui leur permettent d’exécuter des commandes sur le serveur, de gérer des fichiers et potentiellement d’effectuer d’autres tâches administratives qui peuvent être utilisées de manière malveillante entre de mauvaises mains. Le fait qu’il ait été surclassé par d’autres types de vulnérabilités ne signifie pas que les développeurs doivent cesser de se concentrer sur la prévention des téléchargements de fichiers malveillants lorsqu’ils travaillent sur des thèmes, des plugins ou même le noyau WordPress nouveaux ou existants.
Tendances de la vulnérabilité en 2022
En examinant la répartition des vulnérabilités signalées, il devient clair que les plugins représentent la grande majorité des vulnérabilités signalées. Naturellement, nous devons également tenir compte du fait qu’il existe bien plus de plugins que de thèmes. Cependant, cela dit, cela montre que le cœur de WordPress lui-même est beaucoup plus sécurisé, et le problème de sécurité dans l’écosystème WordPress peut être dû aux plugins et aux thèmes.
Parmi les vulnérabilités divulguées en 2022, toutes sauf 824 ont reçu des correctifs. Cela signifie qu’environ les deux tiers des vulnérabilités ont été corrigées pour empêcher les exploits à leur encontre. Le tiers restant des vulnérabilités se trouve dans des plugins qui ont été fermés ou qui n’ont jamais été corrigés et doivent être supprimés s’ils sont installés. Savoir quels logiciels installés sur un site Web pourraient présenter des vulnérabilités est essentiel pour assurer la sécurité du site Web. Qu’il s’agisse de mettre à jour le logiciel lorsqu’un correctif est disponible ou de supprimer le logiciel tant qu’il n’est pas corrigé, rester à jour sur les vulnérabilités aide à prévenir les attaques de sites Web réussies.
Le cœur de WordPress avait 22 vulnérabilités signalées tout au long de l’année, et sept thèmes variaient de 10 à 18 vulnérabilités signalées. Au total, il y avait 2 345 plugins et thèmes avec des vulnérabilités signalées en 2022, en plus du noyau WordPress. Parmi ceux-ci, 562 avaient plus d’une vulnérabilité signalée au cours de l’année.
Une autre considération lors de l’examen des vulnérabilités est le niveau d’accès requis pour exploiter la vulnérabilité. En 2022, il y avait 614 vulnérabilités qui nécessitaient des privilèges de haut niveau, 553 qui nécessitaient des privilèges de bas niveau et 1203 qui ne nécessitaient aucun privilège. Sur un site Web WordPress, les privilèges de haut niveau seraient ceux qui obligent l’attaquant à obtenir un accès de niveau éditeur ou administrateur, tandis que les privilèges de bas niveau seraient équivalents à ceux d’abonné, de contributeur ou d’auteur.
Parmi les vulnérabilités qui ne nécessitaient aucune authentification sur un site Web vulnérable, 888 d’entre elles étaient du type cross-site scripting (XSS) ou cross-site request forgery (CSRF). Ces vulnérabilités nécessitent une interaction de l’utilisateur pour être exploitées, comme convaincre un utilisateur de cliquer sur un lien malveillant spécialement conçu. Les 315 vulnérabilités restantes qui ne nécessitent pas d’accès authentifié sont des vulnérabilités qui ne nécessitent aucune interaction de la part d’un utilisateur.
A quoi ressemblera 2023 ?
Avec janvier déjà prévu, 2023 s’annonce très similaire à 2022. Les scripts intersites (XSS) seront la vulnérabilité la plus fréquemment signalée, avec le contournement d’authentification, la falsification de requêtes intersites (CSRF) et l’injection SQL (SQLi ) ayant également un nombre important de vulnérabilités signalées. Les vulnérabilités de divulgation d’informations peuvent devenir moins importantes, les vulnérabilités de traversée de répertoires et de téléchargement de fichiers faisant un peu leur retour cette année, mais il leur reste encore beaucoup de temps pour se rattraper dans les mois à venir.
La principale chose sur laquelle nous pouvons compter pour 2023 est que nous verrons davantage de vulnérabilités signalées. Il est plus facile que jamais de signaler les vulnérabilités qui ont été trouvés, et c’est une bonne chose car cela signifie que davantage de vulnérabilités peuvent être corrigées efficacement.
Conclusion
L’augmentation des vulnérabilités signalées illustre plus que jamais l’importance de maintenir les sites Web à jour avec les dernières mises à jour de sécurité. L’augmentation observée dans les rapports de vulnérabilité contribue plus que jamais à la sécurité de WordPress, mais cela signifie que les composants peuvent également devoir être mis à jour plus fréquemment. Le noyau, les thèmes et les plugins de WordPress doivent toujours être mis à jour le plus rapidement possible après la publication d’une nouvelle version pour s’assurer que les vulnérabilités sont corrigées afin de minimiser les chances qu’un acteur malveillant réussisse dans ses tentatives d’attaque. En plus de maintenir les sites Web à jour, il est également important de mettre en œuvre une solution, comme Wordfence, pour protéger votre site Web contre les attaques et les logiciels malveillants.
Clôture des mots Prime, Se soucier et Réponse recevoir de nouvelles règles de pare-feu et des signatures de logiciels malveillants dès qu’elles sont disponibles, les nouvelles règles et signatures étant disponibles pour Wordfence gratuit clients 30 jours plus tard. Si vous pensez que votre site a été compromis en raison de ces vulnérabilités ou de toute autre vulnérabilité, nous proposons des services de réponse aux incidents via Soins des mots. Si vous avez besoin que votre site soit nettoyé immédiatement, Réponse Wordfence offre le même service avec une disponibilité 24/7/365 et un temps de réponse d’une heure. Ces deux produits incluent une assistance pratique au cas où vous auriez besoin d’une assistance supplémentaire.
En plus de protéger votre site Web, Wordfence Intelligence Community Edition fournit gratuitement les informations les plus récentes sur les vulnérabilités de WordPress, vous aidant à rester au courant des vulnérabilités susceptibles d’affecter votre site Web.
Source link