Patchstack qui récemment Renommé par WebARX, a publié son Livre blanc sur la sécurité 2020. Au total, 582 vulnérabilités ont été identifiées dans le rapport. Cependant, seuls 22 des problèmes provenaient de WordPress lui-même. Les plugins et thèmes tiers constituaient les 96,22% restants.

«Ce sont tous des problèmes de sécurité exposés par l’équipe de recherche interne de Patchstack, la communauté Patchstack Red Team, des fournisseurs de sécurité tiers et d’autres chercheurs indépendants en sécurité», a déclaré Oliver Sild, fondateur et PDG de Patchstack. « Il contient donc toutes les informations publiques sur les vulnérabilités de sécurité. »

Patchstack est une société de sécurité qui se concentre sur les extensions tierces de WordPress. Il est Base de données de vulnérabilité est public et visible de tous.

Au deuxième trimestre 2020, Patchstack a interrogé près de 400 développeurs Web, pigistes et agences sur la sécurité Web. « Plus de 70% ont répondu qu’ils étaient de plus en plus préoccupés par la sécurité de leur site Web et que la principale raison était ‘les vulnérabilités des plugins tiers' », lit-on dans le livre blanc. « Environ 45% des répondants ont constaté une augmentation des attaques contre les sites Web qu’ils gèrent, et 25% avaient un site Web piraté le mois précédant l’enquête. »

211 des vulnérabilités découvertes étaient des problèmes de Cross-Site Scripting (XSS), soit 36,2% du total.

« XSS dans les plugins WordPress se produit presque toujours parce que les données d’entrée de l’utilisateur sont imprimées directement à l’écran sans aucun nettoyage », a déclaré Sild. « esc_html est utilisé pour convertir certains caractères en leurs entités HTML afin qu’ils soient littéralement imprimés à l’écran. Alors tu as aussi esc_attr pour les variables d’entrée utilisateur qui doivent être utilisées dans les attributs HTML. Il existe de nombreuses bonnes ressources publiées par OWASP (Le projet de sécurité des applications Web ouvertes), par ex. B. « Pratiques de codage sécurisées ». « 

Les vulnérabilités d’injection ont pris la deuxième place avec 70 cas individuels. Cela a été suivi de 38 problèmes de falsification de requêtes intersites (CSRF) et de 29 cas de données sensibles.

«Les points faibles des plugins et des thèmes sont généralement plus graves que dans WordPress Core», a écrit Sild dans le livre blanc. «Ce qui aggrave les choses, c’est que de nombreux plugins populaires ont des millions d’installations actives, et les chiffres ne sont pas bons quand on regarde le nombre de sites Web affectés par les plugins vulnérables.

Le nombre total d’installations de thèmes et de plugins actifs et vulnérables au cours de l’année était de 70 millions. Selon WordCamp CentralWordPress est installé sur 75 millions de sites Web. De nombreux sites Web avaient probablement plus d’un plugin vulnérable en 2020 au lieu de 70 millions de sites Web individuels à risque.

Patchstack a sondé 50 000 sites Web et a constaté qu’une moyenne de 23 plugins actifs existait en même temps. Environ quatre sur chaque site étaient obsolètes avec une mise à jour disponible, augmentant souvent le risque d’un problème de sécurité.

Les plugins WordPress étaient responsables de 478 failles de sécurité dans le rapport. Cependant, il n’y avait que 82 problèmes thématiques uniques. Bien que les sujets aient généralement une portée beaucoup plus limitée, ils peuvent faire tout ce qu’un plugin peut faire à quelques exceptions près.

Sans surprise, ce nombre est plus faible pour les sujets. Cependant, il faut se demander si le plan en cours Si vous assouplissez les directives relatives à la révision du répertoire de thèmes WordPress.org, vous garderez cela à l’esprit pendant un an ou deux. Actuellement, les réviseurs d’annuaires officiels effectuent des révisions approfondies du code qui peuvent poser des problèmes avant que les sujets ne soient entre les mains des utilisateurs. Si le compromis est une meilleure automatisation, cela peut également signifier des normes de codage plus strictes et moins de problèmes de sécurité que les examinateurs humains peuvent ignorer.

« Les vulnérabilités des codes tiers restent une menace majeure pour les sites Web basés sur WordPress », a conclu Sild dans le rapport. « Nous constatons déjà une augmentation des vulnérabilités uniques dans les plugins et thèmes WordPress qui comparent 2020 au début 2021. »



Source link

Recent Posts