73% de sites WordPress vulnérables aux attaques
Cette étude, réalisée par le cabinet d’analystes EnableSecurity et diffusée par WordPress via son site dédié à la sécurité, WP WhiteSecurity, a été menée du 12 au 15 septembre, peu après la release de maintenance et de sécurité de WordPress 3.6.1
WordPress est le gestionnaire de contenus et le CMS (Content Management System) le plus utilisé au monde : selon son fondateur, Matt Mullenweg, sur l’ensemble des sites existants, un sur cinq reposerait sur le logiciel.
Comme à chaque fois que paraît une étude de cette nature, il nous a paru nécessaire de la nuancer.
En l’occurrence, cette fois-ci, ça ne sera pas à nous de le faire puisqu’une note de bas de page, plutôt comique, s’en charge à notre place. On peut en effet y lire :
Les outils ayant servi à cette étude sont encore en cours de développement. Ainsi, certains chiffrent risquent d’être inexacts.
Au moins, vous êtes prévenus.
Mais alors, vous êtes probablement en train de penser : “si les chiffres sont inexacts, quel intérêt d’en parler ici ?”
Eh bien, parce qu’ils sont (à mon avis) probablement exacts (ou disons plus ou moins exacts) et même s’ils ne l’étaient pas, ils mettent en lumière une faille de sécurité très critique qui, malgré cette note de bas de page approximative, n’est pas à prendre à la légère.
Il est donc important de garder les yeux ouverts et l’esprit critique.
Cette étude n’a fait que révéler quelles versions de WordPress sont utilisées pour près d’un millions de sites web.
Se concentrer sur ce fait est loin d’être innocent : la règle d’or de sécurité de WordPress est la suivante : être toujours équipé de la dernière version de WordPress.
Si vous n’avez pas téléchargé la version la plus récente de WordPress, il est fort probable que vous exécutiez une version criblée de failles de sécurité connues : c’est par ces failles de sécurité que les cybercriminels parviennent à accéder à votre système.
L’analyse menée par EnableSecurity du top 1 000 000 d’Alexa en a conclu que 41 106 sites tournaient sous WordPress, soit un peu plus de 4%.
Puis, sur ces 41 106 sites, l’étude démontre qu’au moins 30 823 d’entre eux exécutent une version de WordPress avec des vulnérabilités connues. L’étude en arrive donc à la conclusion suivante :
73.2% des sites WordPress les plus connus sont vulnérables face aux attaques détectables grâce à des outils automatiques gratuits.
C’est à partir de maintenant qu’il faut nuancer.
Même si nous lisons que 73% des sites exécutent des versions vulnérables de WordPress, il est impossible d’en conclure que ces 73% sont effectivement vulnérables.
Certaines pratiques de sécurité n’ont même pas fait l’objet d’un test : un pare-feu applicatif web (WAF) n’a même pas été utilisé. Celui-ci est pourtant capable de former une barrière protectrice à l’entrée d’un site vulnérable.
A ce propos, la règle d’or de sécurité de WordPress, à savoir, d’être toujours équipé de la toute dernière version de WordPress s’applique même pour des sites protégés par un WAF. L’un n’empêche pas l’autre et ils doivent être considérés comme deux stratégies différentes, mais essentielles, pour une protection en profondeur.
En plus de passer sous silence les raisons pour lesquelles le chiffre de 73% pourrait être quelque peu excessif, l’étude fait également totalement l’impasse sur d’autres raisons pour lesquelles ce chiffre pourrait être insuffisant.
Le spectre limité des recherches, pour cette étude, signifie que d’autres formes d’attaques automatiques ciblant WordPress n’ont pas été prises en compte : on peut notamment évoquer les attaques ciblant les mots de passe trop simples ou celles visant les failles dans les plugins les plus utilisés.
Aussi superficielle que paraisse l’étude, elle reste pertinente dans les grandes lignes et véhicule finalement un message important : les utilisateurs de WordPress doivent prêter une attention toute particulière à la sécurité. Ils utilisent, en effet, un logiciel suffisamment reconnu pour encourager les cybercriminels à y lancer des attaques automatiques de grande ampleur.
10 conseils pour préserver la sécurité de votre site WordPress
Si votre site repose sur le logiciel WordPress, voici 10 conseils qui vous permettront de ne pas rejoindre les 70% (ou peu importe le chiffre réel considérable dont il s’agisse réellement) exécutant des sites web vulnérables :
- Exécutez toujours la version la plus récente de WordPress
- Exécutez toujours les plugins et les thèmes les plus récents
- Soyez prudents lorsque vous choisissez les thèmes et les plugins
- Supprimez le profil administrateur, effacez les plugins et les thèmes non utilisés ainsi que les utilisateurs inactifs
- Assurez-vous de la solidité du mot de passe de chaque utilisateur
- Exigez l’authentification à deux facteurs pour l’ensemble des utilisateurs
- Exigez que les identifications et les accès administrateurs se fassent en HTTPS
- Mettez en place des clés secrètes complexes pour vos fichiers wp-config.php
- Offrez-vous les services d’un hébergeur spécialiste de WordPress
- Protégez votre site web avec un un pare-feu applicatif web (WAF)
Follow @SophosFrance//platform.twitter.com/widgets.js
Billet traduit de How to avoid being one of the “73%” of WordPress sites vulnerable to attack, par Mark Stockley, Sophos nakedsecurity.
Partagez 73% de sites WordPress vulnérables aux attaques : http://bit.ly/1itmboK