WPScan est sur la bonne voie pour enregistrer une année record pour les vulnérabilités des plugins WordPress soumises à sa base de données, selon un rapport de sécurité collaboratif à mi-année la société a publié avec Wordfence. Au premier semestre 2021, WPScan a enregistré 602 nouvelles vulnérabilités, dépassant rapidement les 514 signalées pendant toute l’année 2020.
Le rapport est basé sur les données d’attaque de la plate-forme de Wordfence et les données de la base de données de vulnérabilités de WPScan, fournissant une image plus complète de l’état actuel de la sécurité de WordPress que les deux sociétés pourraient présenter seules.
L’une des tendances mises en évidence dans le rapport est l’augmentation des attaques par mot de passe. Wordfence a bloqué plus de 86 milliards de tentatives d’attaque par mot de passe au cours du premier semestre 2021. Les attaquants utilisent diverses méthodes pour accéder aux sites WordPress, notamment en testant les sites par rapport à des listes de mots de passe compromis, des attaques par dictionnaire et des attaques par force brute plus gourmandes en ressources.
Wordfence a constaté que la connexion standard était la principale cible d’attaque par mot de passe pour 40,4% des tentatives, suivie de XML-RPC (37,7%). Étant donné que ces attaques semblent augmenter, le rapport recommande que les propriétaires de sites utilisent Authentification à 2 facteurs sur tous les comptes disponibles, utilisez des mots de passe sécurisés forts uniques à chaque compte, désactivez XML-RPC lorsqu’il n’est pas utilisé et mettez en place une protection contre la force brute.
Les données du pare-feu d’applications Web de Wordfence montrent plus de 4 milliards de demandes bloquées en raison d’exploits de vulnérabilité et d’adresses IP bloquées. Le rapport comprend une ventilation du pourcentage de demandes bloquées par le pare-feu par règle de pare-feu. Directory Traversal représente 27,1 % des demandes. C’est lorsqu’un attaquant tente d’accéder à des fichiers sans y être autorisé et d’effectuer une action telle que lire ou supprimer le fichier /wp-config.php d’un site, par exemple. Cette répartition met également en évidence le fait que certaines vulnérabilités plus anciennes sont encore fréquemment ciblées par les attaquants.
La grande majorité des vulnérabilités dont vous entendez parler dans l’écosystème WordPress proviennent de plugins, les thèmes représentant une partie beaucoup plus petite. Le rapport note que seulement trois des 602 vulnérabilités répertoriées par WPScan au cours du premier semestre de cette année ont été trouvées dans le noyau WordPress.
En analysant les vulnérabilités par type, WPScan a constaté que Les vulnérabilités de type Cross-Site Scripting (XSS) représentaient plus de la moitié d’entre elles (52 %), suivies de Contrefaçon de requête intersites (CSRF) à 16%, Injection SQL (13 %), problèmes de contrôle d’accès (12 %) et problèmes de téléchargement de fichiers (7 %). En utilisant les scores du Common Vulnerability Scoring System (CVSS), WPScan a constaté que 17% des vulnérabilités signalées étaient critiques, 31% élevées et 50% de gravité moyenne.
Wordfence et WPScan affirment tous deux que le plus grand nombre de vulnérabilités signalées cette année est révélateur de la croissance de l’écosystème WordPress et d’un intérêt sain et mûr pour la sécurité. Les thèmes et les plugins ne deviennent pas de moins en moins sécurisés avec le temps, mais il y a plutôt de plus en plus de personnes intéressées par la découverte et le signalement des vulnérabilités.
« D’abord et avant tout, nous ne voyons pas beaucoup de vulnérabilités nouvellement introduites dans les plugins et les thèmes, mais nous voyons plutôt beaucoup de vulnérabilités plus anciennes dans les plugins et les thèmes plus anciens signalés / corrigés qui n’avaient tout simplement pas été détectés jusqu’à présent. » Chloe Chamberland, analyste des menaces de Wordfence, a déclaré.
« Les vulnérabilités ne sont pas introduites aussi fréquemment et davantage de vulnérabilités sont détectées simplement en raison de l’activité plus élevée des chercheurs, ce qui a à son tour un impact positif sur la sécurité de l’écosystème WordPress. Étant donné qu’il ne s’agit pas de vulnérabilités nouvellement introduites qui sont fréquemment découvertes, je suis confiant de dire que l’augmentation des découvertes n’indique pas que l’écosystème est de moins en moins sécurisé, mais plutôt de plus en plus sécurisé.
Chamberland a également déclaré qu’elle pense qu’il y a un effet domino lorsque les vulnérabilités sont divulguées aux fournisseurs et qu’ils apprennent de leurs accidents, les amenant à développer des produits plus sécurisés à l’avenir.
« Par expérience, alors que je passe beaucoup de temps à rechercher des vulnérabilités dans les plugins WordPress, les choses sont définitivement devenues plus sûres de mon point de vue », a-t-elle déclaré. «Aujourd’hui, je trouve fréquemment des contrôles de capacité et des contrôles de nonce aux bons endroits, ainsi que des mesures de validation de téléchargement de fichiers appropriées en place, et toutes les bonnes choses. Il est devenu plus difficile de trouver des vulnérabilités facilement exploitables dans les plugins et les thèmes qui sont activement maintenus, ce qui est une bonne chose ! »
Le rapport semestriel est disponible au format PDF pour Télécharger gratuitement sur le site Web de WPScan. Le fondateur et PDG de WPScan, Ryan Dewhurst, a déclaré qu’il s’attend à ce qu’il y ait un rapport de fin d’année pour 2021. Il n’en a pas encore discuté avec Wordfence, mais les entreprises réfléchissent à d’autres moyens de collaborer.
Source link