Les administrateurs ne corrigent jamais 30 % des vulnérabilités critiques dans les plugins WordPress

Un grand nombre de plugins WordPress ne reçoivent jamais de correctifs pour les vulnérabilités critiques, laissant les nombreux projets et sites Web qui les utilisent à risque d'être compromis par des attaquants, selon une nouvelle étude.

Les plugins WordPress sont essentiels pour tout projet visant à offrir une expérience optimale sur le marché en ligne. Les sites Web et leurs backends sont souvent améliorés avec des plugins, mais de nouvelles fonctionnalités et options augmentent également la surface d'attaque, et les cybercriminels le savent.

Les différents composants WordPress sont affectés de façon inégale. Par exemple, seulement 0,58 % des vulnérabilités de sécurité provenaient du cœur (core) de WordPress en 2021, selon un rapport de Patchstack sur l'état de la sécurité de WordPress en 2021.

Les rapports soulignent également un problème qui est devenu évident en 2021, avec des vulnérabilités dans les plugins augmentant de 150 % par rapport à 2020.

"Le référentiel WordPress.org ouvre la voie en tant que principale source de plugins et de thèmes WordPress", ont déclaré les chercheurs dans le rapport. "Les vulnérabilités de ces composants représentaient 91,79 % des vulnérabilités ajoutées à la base de données Patchstack."

"Les 8,21% restants des vulnérabilités en 2021 ont été signalées dans des versions premium ou payantes des plugins ou thèmes WordPress qui sont vendus sur d'autres marchés comme Envato, ThemeForest, Code Canyon, ou mis à disposition en téléchargement direct uniquement", ont-ils ajouté.

Les problèmes de sécurité sont encore pires, avec 42 % des sites WordPress utilisant au moins un composant vulnérable. Il y a plusieurs raisons au triste état de sécurité des plugins WordPress.

Tout d'abord, de nombreux sites Web n'ont pas vraiment de budget de sécurité, de sorte que de nombreux problèmes sont négligés ou ignorés jusqu'à ce qu'ils deviennent un problème.

Le deuxième problème concerne toutes les plates-formes, y compris les applications et les systèmes d'exploitation. Souvent, les développeurs proposent des mises à jour qui corrigent des vulnérabilités critiques, mais cela prend beaucoup de temps avant qu'elles n'atteignent tout le monde. Certains administrateurs ignorent simplement les mises à jour de sécurité pendant des mois, voire des années.