Patchstack, un outil de maintenance et de gestion de la sécurité WordPress, a publié son «État de la sécurité de WordPress» livre blanc pour 2022, retraçant quelques mesures clés sur les vulnérabilités signalées publiquement.
Les résultats mettent en évidence le risque d’utiliser des thèmes et des plugins non maintenus ainsi que le besoin des développeurs de suivre le rythme des mises à jour des bibliothèques et des dépendances incluses dans leur travail. Patchstack suit une augmentation significative des vulnérabilités signalées en 2022 :
En 2022, nous avons vu 328 % de bugs de sécurité supplémentaires signalés dans les plugins WordPress – nous avons ajouté 4 528 bogues de sécurité confirmés dans notre base de données, par rapport à 1 382 en 2021.
Comme les années précédentes, la majorité de ces bogues de sécurité ont été trouvés dans les plugins (93%), suivis des thèmes (6,7%) et du noyau WordPress (0,6%).
Ces chiffres proviennent de données publiques de Patchstack et d’autres sociétés de sécurité et chercheurs de l’écosystème WordPress. Le nombre total de vulnérabilités provient des trois CNA officiels de l’espace WordPress qui sont autorisés à attribuer des identifiants CVE aux nouvelles vulnérabilités de sécurité et à qui les chercheurs signalent les problèmes. Ceux-ci incluent Patchstack, Automattic (WPscan) et WordFence. Le PDG de Patchstack, Oliver Sild, a déclaré que certaines des vulnérabilités avaient également été publiées indépendamment ailleurs ou signalées directement à MITRE.
Le rapport a souligné que l’augmentation du nombre de vulnérabilités signalées signifie que l’écosystème devient plus sécurisé grâce à la détection et à la correction d’un plus grand nombre de problèmes de sécurité.
Une autre petite amélioration par rapport à l’année dernière est le pourcentage de bogues de sécurité critiques qui n’ont jamais reçu de correctif. En 2022, ce nombre était de 26 % contre 29 % en 2021. Les vulnérabilités critiques ont été mieux traitées cette année, mais Sild a déclaré que jusqu’à présent, ce n’est pas un changement significatif qu’ils se connecteraient à une tendance pour le moment.
« Nous pensons toujours que cela montre un gros problème, à savoir que certains plugins ne sont pas pris en charge ou abandonnés et ne reçoivent pas de correctifs en temps opportun », a-t-il déclaré.
Résoudre le problème des développeurs qui abandonnent leur travail est un défi, et de nombreux utilisateurs ne savent pas comment sélectionner les plugins les plus susceptibles d’être pris en charge.
« Je pense qu’il est important d’être transparent », a déclaré Sild. « Il est également normal que les projets se terminent. J’ai récemment dit à mon collègue que « lorsque quelqu’un construit un nouveau plugin, il doit garder à l’esprit que quelqu’un pourrait réellement l’utiliser ». Cela m’est resté en quelque sorte, car même si le développeur du plugin est parti et ne travaille plus sur le projet, il pourrait encore y avoir des gens qui en dépendent.
Sild a déclaré que les utilisateurs sont souvent laissés dans l’ignorance car le noyau de WordPress ne montre que si une mise à jour est disponible. Si un plugin est fermé par WordPress.org en raison d’un problème de sécurité non corrigé, les utilisateurs ne sont pas avertis.
« C’est quelque chose que nous essayons d’améliorer avec nos partenaires tels que d’autres plugins de sécurité et des sociétés d’hébergement », a-t-il déclaré. « La communication est la clé. Nous avons également récemment créé un service gratuit pour les développeurs de plugins appelé ‘programme de divulgation de vulnérabilité géré’ sous peu mVDP. L’objectif est d’aider les développeurs de plugins à adopter des pratiques de sécurité plus matures et de montrer aux utilisateurs qu’ils prennent la sécurité au sérieux.
Parmi les autres informations notables du livre blanc, citons une ventilation des bogues de sécurité WordPress par gravité. En 2022, la majorité des vulnérabilités (84 %) étaient classées comme étant de gravité moyenne, avec un pourcentage plus faible de gravité élevée (11 %) et critique (2 %).
Parmi les plugins les plus populaires (plus d’un million d’installations) qui présentaient des problèmes de sécurité, seuls cinq contenaient des bogues de gravité élevée. Les deux vulnérabilités présentant les scores CVSS les plus élevés étaient Elementor et Essential Add-ons for Elementor, suivis de UpdraftPlus WordPress Backup, One Click Demo Import et MonsterInsights.
Le livre blanc met en évidence quelques autres tendances, notamment les sociétés d’hébergement alertant leurs clients des vulnérabilités, la croissance de la communauté de recherche en sécurité et une sensibilisation accrue à la sécurité au sein de l’écosystème WordPress. Pour plus de détails sur l’état de la sécurité de WordPress en 2022 et les prévisions pour cette année, consultez le papier blanc sur le site Web de Patchstack.
Source link