Les chiffres sur les failles de sécurité des sites WordPress en 2022

En 2022 le nombre de signalement de faille de sécurité sur Wordpress a augmenté de 328%.

La plupart de ces bugs ont reçu une correction, cependant il existe toujours un grand nombre de bugs non corrigés.

Les plugins sont sans conteste le vecteur N°1 des failles de sécurité sur les sites Wordpress. Sur l’ensemble des bugs de sécurité recensés en 2022, 93% d’entres eux provenaient de plugins installés.

Les thèmes Wordpress représentaient quant à eu 6,7% des failles de sécurité tandis que les bugs inhérents à Wordpress ont représenté moins de 1% d’entre eux.

Près de la moitié des sites internet conçus sur Wordpress intègrent à minima un plugin vulnérable.

Ce qui signifie que près de la moitié des sites Wordpress sont potentiellement vulnérables aux cyberattaques.

En 2022, 26% des problèmes de sécurité signalés n’ont pas connu de correctif. Ce qui signifie que les plugins intègrent toujours une faille de sécurité connue et exploitable par les hackers. 

Lorsqu’un plugin est fermé à cause d’une faille de sécurité, il reste utilisable s’il est installé sur votre site. Cependant aucune notification ne vous informe de sa fermeture.

Ce qui signifie que votre site sera vulnérable tant que le plugin reste installé et qu’il y a de forte chance que vous ne soyez pas au courant de cette vulnérabilité.

Même les plugins les plus utilisés sont susceptibles de montrer des failles de sécurité.

C’est le cas de ces 10 logiciels qui ont montré en 2022 des bugs de sécurité de haute à moyenne gravité. Ils ont été classifiés par un système de notation qui va de 0 (faible niveau de gravité) à 10 (haut niveau de gravité).

Voici la liste des plugins et le niveau de gravité des bugs reportés en 2022 :

• « Elementor Website Builder » : 8,8/10
• « Essential Addons for Elementor » : 8,6/10
• « UpdraftPlus WordPress Backup » : 8,5/10
• « One Click Demo Import » : 7,2/10
• « MonsterInsights » : 7,1/10
• « WooCommerce » : 6,6/10
• « All-in-One WP Migration » : 6,6/10
• « All in One SEO » : 5,4/10
• « Yoast SEO » : 5,3/10
• « WordFence » : 4,4/10
• « Contact Form by WPForms » : 4,1/10

La plupart des failles de sécurité Wordpress sont liés aux plugins. Il faut donc être conscient du risque potentiel qu’ils peuvent représenter pour votre site.

Quand un bug de sécurité est signalé sur un plugin, sa correction est de la responsabilité du développeur qui a produit le logiciel. Très souvent ces bugs de sécurité sont corrigés et une nouvelle version est alors disponible.

C’est pourquoi il est primordial de faire toutes les mises à jour de vos plugins. Si vous conservez l’ancienne version vous restez vulnérable aux failles de sécurités connues par les cyberpirates.

Les mises à jour sont donc le moyen le plus efficace de vous prémunir des failles de sécurité sur votre site.

Il est également crucial de vous séparer des plugins qui ont été supprimés par leur concepteur pour cause de problème de sécurité.

Attention cependant car vous n’en serez surement pas informé. Il faut maintenir une veille permanente pour être sûr de ne pas vous exposer à certaines failles de sécurités connues.

Si vous ne voulez plus vous exposer aux bugs de sécurité Wordpress vous pouvez aussi tout simplement changer de technologie ! 

Wordpress est le CMS le plus connus et le plus utilisé dans le monde. Cependant les nombreux problèmes de sécurités auquel il fait face, vous rendent vulnérable aux cyberattaques.

Il existe néanmoins d’autres technologies web bien plus sécurisées, c’est le cas de Symfony.

Symfony est un framework utilisé en développement web, qui permet de produire des sites internet avec un niveau de sécurisation bien supérieur à Wordpress.

Les composants Symfony sont tous verrouillés par défaut ce qui sécurise déjà fortement votre site web.

C’est un Framework en Open source ce qui signifie que la détection et la correction des failles se font beaucoup plus rapidement qu’avec un code propriétaire.

L’un des avantages de Symfony c’est qu’il ne se limite pas à un thème prédéfini comme c’est le cas avec Wordpress.

L’ensemble de l’interface web est développé sur mesure, ce qui offre une multitude de possibilités en matière de fonctionnalités et de design.

Symfony n’est pas un CMS, ce qui signifie que, si vous n’êtes pas développeur vous ne pourrez pas créer votre site internet vous-même en utilisant Symfony.

Cependant, vous pouvez faire appel à une agence web Symfony

L’agence s’occupe alors de réaliser les designs, de coder les différentes fonctionnalités et de développer votre back office. Vous aurez ensuite accès à un espace d’administration similaire à Wordpress mais qui réunit uniquement les fonctionnalités dont vous avez besoin.

En sommes, si Wordpress ne remplit pas toutes vos attentes en matière de sécurité vous pouvez vous tourner vers Symfony.

C’est l’alternative à WordPress la plus sécurisée et la plus flexible sur le marché. Vous aurez l’avantage d’avoir un site 100% sur mesure avec des designs personnalisés et des fonctionnalités conçus sur mesure en fonction de vos besoins.

Si tous ces chiffres vous ont convaincu alors n’hésitez pas à sauter le pas !

Contactez notre agence web et parlez-nous de votre projet !

Source : State of WordPress Security In 2022