Wordpress est le CMS le plus utilisé au monde, il est même le premier outil utilisé pour la création de site que ce soit des blogs ou sites d’e-commerce puisque 30% des sites internet sont conçus avec celui-ci.
S’il est l’outil le plus utilisé, il est également l’outil le plus ciblé par les personnes ayant des intentions malveillantes.
5 fois plus de vulnérabilités qu’en 2016
En 2016 déjà, selon une étude provenant d’une société de sécurité se nommant Sucuri, Wordpress a été le CMS le plus ciblé par les cyberattaques exploitant la centaine de vulnérabilités présentes sur Wordpress à l’époque.
En 2018, la situation ne s’est pas améliorée pour Wordpress qui se voit toujours autant ciblé par les attaques, selon une observation de Imperva, le nombre de vulnérabilités a bien évolué et s’établit à 542 vulnérabilités pour cette année. Ce nombre s’est donc multiplié par 5 en l’espace de 2 ans.
Il faut tout de même préciser que toutes les failles ne constituent pas un enjeu majeur, tout dépend de l’importance de la vulnérabilité bien que plus le nombre est élevé plus il y a de chance qu’il y en ait une importante, et bien que Wordpress soit le CMS le plus ciblé, les autres tels que Drupal, Joomla et Magento ne sont pas épargnés.
La source des vulnérabilités
La plus grande sécurité est un
CMS mis à jour, si c’est le cas vous ne risquez presque rien (aucun système n’est infaillible).
Toutefois, toujours selon Imperva, la plus grande faiblesse du CMS proviendrait d’une de ses plus grandes forces : les plugins.
Parmi la liste des failles, seulement 2% d’entre elles proviendraient directement du code de Wordpress, tandis que les 98% restants relèvent des fameuses extensions pour ajouter des fonctionnalités à votre site.
Les plugins les plus risqués sont ceux, vous vous en doutez, qui n’ont pas été mis à jour depuis plusieurs mois voire des années.
Généralement les plugins qui n’ont plus de suivi et représentent un risque sont les plugins gratuits.
Les plugins comportant le plus de vulnérabilités répertoriées sont Event Calendar WD, Ultimate Member, Coming Soon Page, GD Rating system, Contact Form by WD, Duplicator Pro, Ninja Forms et de nombreux autres.
Il est donc important de s’assurer de prendre des plugins dont la dernière mise à jour date de 3 mois maximum, bien que 3 mois soit déjà élevé, au-delà il est probable que le suivi ne soit plus assuré.
