Je viens de trouver un article fascinant (en anglais) qui présente les statistiques 2020 des vulnérabilités de WordPress et de WooCommerce (Statistics highlight the biggest source of WordPress vulnerabilities).
La sécurité de votre site WordPress ou de votre site e-commerce est essentielle à votre entreprise.
Et cette sécurité peut être compromise de nombreuses façons. Par conséquent, comprendre quels composants d’un site WordPress sont les plus vulnérables peut être très utile pour diriger vos efforts et corriger des faiblesses.
Cela démontrera, si c’était encore nécessaire, l’importance de continuellement mettre à jour WordPress et toutes les extensions (plugins) et de mettre en place les correctifs de sécurité nécessaires pour protéger votre site des pirates (hackers).
Nous conclurons cet article par quelques recommandations. Mais plongeons immédiatement dans les statistiques.
Les statistiques viennent de la base de données de vulnérabilité WPScan, une version des fichiers de données de WPScan, qui peut être consultée en ligne. Certaines des statistiques mentionnées viennent de l’article mentionné dans l’introduction, et d’autres viennent directement du site WPScan.
Qu’est-ce que WPScan?
WPScan est « open source » et permet de scanner votre site web pour détecter les vulnérabilités de votre installation WordPress et des plugins et des thèmes que vous utilisez.
À ce jour, la base de données de vulnérabilités WPScan a catalogué plus de 22 000 vulnérabilités!
Les vulnérabilités du logiciel WordPress, des thèmes et des extensions (plugins)
Quelques statistiques sur les vulnérabilités WordPress sont disponibles et mises à jour sur la page de statistiques WPScan.
Ces statistiques révèlent 5% des vulnérabilités sont dans le logiciel de base WordPress, 88% dans les extensions et 8% dans les thèmes.
Mais, plus important est de constater le nombre de vulnérabilités dans les thèmes et les extensions gratuites par rapport au nombre dans les thèmes et extensions Premium (payants)!
Thèmes: 825 vs. 21 284; extensions 2695 vs. 89 085.
Le message est clair: utilisez des outils gratuits à vos risques et périls!
Les vulnérabilités selon la version de WordPress
Les versions ayant le plus de vulnérabilités de sécurité sont les versions 3.X
Les versions récentes sont beaucoup plus sécuritaires.
D’où l’importance de garder votre logiciel WordPress à jour! Rappelons que la version la plus récente de WordPress, au moment d’écrire cet article est 5.6!!
Les 10 extensions les moins sécuritaires
Voici les extensions avec le plus de vulnérabilités détectées.
NextGEN Gallery, NinjaForms et WooCommerce sont en tête de peloton avec 22 vulnérabilités chacun.
Il est ennuyeux que WooCommerce soit dans cette liste, étant donné que tant de sites e-commerce utilisent ce plugin. Encore une fois, les stratégies de mises à jour et une bonne stratégie de sauvegarde (backup) sont essentielles à la sécurité de votre site e-commerce.
Les 10 thèmes WordPress les plus vulnérables
Et oui, DIVI est dans cette liste!
Notons que le nombre de vulnérabilités est beaucoup moins élevé pour les thèmes que pour les extensions (plugins).
En effet, les thèmes ont beaucoup moins de fonctionnalités que les plugins. Par exemple, alors que la plupart des plugins gèrent et manipulent des données, les thèmes changent principalement l’apparence des sites WordPress.
Les conclusions et recommandations sur la sécurité de WordPress
Il y a plusieurs choses importantes à retenir de ces statistiques.
- Bien choisir ses extensions et thèmes et ne pas hésiter à acheter ceux-ci.
Cela veut dire:- S’assurer que les plugins et thèmes sont régulièrement mis à jour
- Vérifier les avis clients
- Acheter de développeurs ayant une bonne réputation
- Garder WordPress, les thèmes et les plugins à jour
On ne le dira pas assez. Il est essentiel de faire des mises à jour régulières. - Se garder au courant des failles de sécurité quand elles sont connues.
Personnellement j’aime le plugin ManageWP qui m’alerte des plugins et thèmes ayant des vulnérabilités. Les infolettres de Wordfence m’informent également de nouvelles failles de plugins ou de thèmes. - Utiliser un ou des plugins de sécurité pour protéger votre site
Il existe un certain nombre de ces plugins de sécurité, qui sont capables de détecter toute tentative de piratage et tout ajout à votre code. Mentionnons Sucuri ou Wordfence parmi les plus connus. C’est le sujet de notre article de la semaine prochaine. - Scanner votre site régulièrement pour du code malveillant
Encore une fois il existe différents outils pour le faire. Personnellement j’utilise aussi ManageWP pour cela.
Vous pouvez aussi utiliser l’outil WPScan pour trouver les vulnérabilités WordPress sur votre site. - Effacer tous les thèmes et plugins que vous n’utilisez pas
- N’utiliser que les plugins dont vous avez vraiment besoin
Il y a d’autres causes de vulnérabilités de votre site WordPress :
La faiblesse des mots de passe et les erreurs des utilisateurs
Pour cela, quelques recommandations :
- Utiliser des mots de passe complexes
Votre site sera plus difficile à pirater. - Configurer une connexion d’authentification à deux facteurs
Cela significe que les utilisateurs se connectant au site devront passer par une étape supplémentaire pour accèder à la zone administrative du site WordPress. - Demander à votre hébergeur les mesures mises en place pour la sécurité de votre site
Vous faites votre travail au niveau du site pour le protéger du piratage, mais il est quand même bien de savoir que votre hébergeur a aussi mis en place les bonnes mesures pour le sécuriser et pour aussi le restaurer en cas de piratage. N’hésitez pas à lui poser la question!
Conclusion
Sécuriser votre site internet WordPress ou e-commerce est essentiel. Un site e-commerce piraté a un impact immédiat et majeur sur votre chiffre d’affaires.
Cela démontre à quel point il est important de connaitre les vulnérabilités auxquelles vous pouvez être exposés (et qui ne cessent d’augmenter comme le montre le graphique de WPScan ci-dessous) et de mettre en place une stratégie solide pour limiter les risques de piratage et faire face à ces attaques si vous en êtes victimes.
Vous avez des questions sur la sécurité de votre site WordPress ou WooCommerce?
N’hésitez pas à nous contacter. Il nous fera plaisir de vous aider.