Statistiques de sécurité WordPress : dans quelle mesure WordPress est-il réellement sécurisé ?

WordPress est-il vraiment sûr ? C'est probablement une question qui préoccupe de nombreux nouveaux utilisateurs, surtout lorsqu'ils entendent qu'il s'agit d'un projet open source. Alors, existe-t-il des statistiques sur la sécurité de WordPress qui peuvent apporter une réponse ?

En fait, il y en a, et dans cet article, nous avons essayé de compiler autant de chiffres significatifs que possible sur ce sujet. Ci-dessous, nous examinerons les rapports et statistiques de l'industrie concernant la sécurité du noyau WordPress, des thèmes et des plugins, des informations de connexion et des environnements d'hébergement.

En fin de compte, nous voulons que vous ayez non seulement une bonne idée de la situation de sécurité de WordPress, mais que vous sachiez également exactement où se situent les risques afin que vous puissiez y faire face.

Statistiquement, WordPress est la cible la plus populaire des pirates informatiques

Le premier point de données important lorsqu’on parle de sécurité WordPress est de 43 %. Selon W3Techs, il s’agit de la part mondiale des sites Web fonctionnant sur WordPress. Attention, il ne s'agit pas de sa part de marché dans les systèmes de gestion de contenu (qui est plus élevée) mais dans l'ensemble des sites Web sur Internet.

C'est un chiffre assez important. Et c’est important car, même si en tant que fans de WordPress, c’est quelque chose dont nous pouvons être fiers, cela comporte également un inconvénient : l’exposition.

Le grand nombre de sites Web fonctionnant sur WordPress signifie que la plateforme est une cible privilégiée pour les pirates. En fait, dans le rapport de recherche sur les menaces 2022 de Sucuri, les sites WordPress représentaient 96,2 % de tous les sites Web infectés.

Cela ne semble pas vraiment sûr, n'est-ce pas ?

Lorsque vous voyez de telles statistiques isolément, votre première pensée pourrait être que WordPress a effectivement un problème de sécurité. Sinon, pourquoi cela représenterait-il une si grande majorité de hacks réussis ?

C'est pourquoi nous avons commencé par le premier numéro. WordPress est simplement une cible beaucoup plus importante et lucrative. Opter pour un système qui vous permet d’essayer d’attaquer littéralement des centaines de millions de sites Web plutôt qu’un système avec une base d’utilisateurs beaucoup plus restreinte est beaucoup plus économique et efficace. C'est apparemment aussi ce que pensent les hackers.

La mauvaise nouvelle, c’est qu’ils réussissent souvent. Chaque année, des centaines de milliers de sites WordPress sont piratés avec succès. La bonne nouvelle est que, comme vous le verrez ci-dessous, ce n’est pas parce que WordPress est intrinsèquement dangereux. En fait, bon nombre de ces hacks réussis sont entièrement évitables. Il faut juste savoir se protéger.

Statistiques de vulnérabilité de base de WordPress

Pour savoir si WordPress est sûr ou non, commençons par des statistiques sur la sécurité du logiciel principal de WordPress.

La plupart des sites Web piratés n'ont pas été mis à jour

Selon le rapport Sucuri, la plupart des sites WordPress piratés sont obsolètes. En 2022, plus de la moitié des personnes infectées par des logiciels malveillants n’utilisaient pas la dernière version de WordPress.

Ce n'est pas une surprise. Certaines anciennes versions du CMS présentent des problèmes de sécurité bien connus qui ont été révélés publiquement. Ainsi, si vous continuez à gérer votre site Web sur l’un d’eux, vous invitez simplement quelqu’un à en profiter.

En fait, les éditions WordPress présentant le plus de problèmes de sécurité sont toutes jusqu'à la version 4.0. Depuis, le nombre de vulnérabilités n’a cessé de diminuer.

Le rapport Sucuri reflète également cela. Par rapport aux chiffres précédents, la part des sites WordPress piratés parce qu’ils n’étaient pas mis à jour a diminué.

En fait, WordPress avait le plus faible taux d’infections dues à des versions obsolètes parmi tous les CMS rencontrés.

Cela a été le cas pendant deux années consécutives et la part de WordPress a légèrement diminué pendant cette période. Voici 2021 à titre de comparaison.

Il s'agit d'un problème d'utilisateur, pas d'un problème WordPress

Alors, comment les utilisateurs de WordPress maintiennent-ils leurs sites Web à jour ? Eh bien, beaucoup ne le font pas. Voici les versions de WordPress exécutées sur des sites Web sauvages, telles que suivies par WordPress.org.

Comme vous pouvez le constater, seulement 60 % environ utilisent la toute dernière version. Pourtant, la bonne nouvelle est qu’au moins la grande majorité utilise WordPress 4.0 ou supérieur, où la situation de vulnérabilité s’améliore bien. De plus, les trois quarts ont mis à jour vers la dernière version majeure, ce qui constitue une amélioration par rapport à avant. En 2016, cette part n’était que d’environ 50 %.

L'une des raisons en est probablement les mises à jour automatiques introduites dans la version 5.6. Vous n'avez plus besoin de compter sur les utilisateurs pour cliquer manuellement sur le bouton Mettre à jour . Au lieu de cela, les sites Web peuvent installer automatiquement de nouvelles versions de WordPress, ce qui a apparemment contribué à cette tendance positive.

L'infrastructure de sécurité WordPress fonctionne

Malgré la réticence des utilisateurs à mettre à jour leurs sites internet, le système de sécurité du noyau WordPress fait très bien son travail. L’équipe de sécurité de WordPress détecte et corrige rapidement les problèmes dans chaque nouvelle version de WordPress.

En 2023, nous avions déjà trois versions de sécurité corrigeant 20 à 30 vulnérabilités potentielles. WordPress 6.0.3 contenait à lui seul 16 correctifs de sécurité. Il y avait également quatre versions de sécurité dans le projet en 2022, qui corrigeaient 26 bogues de sécurité au total.

De plus, cette vigilance s’étend à d’autres parties de l’écosystème. Elementor a rencontré une vulnérabilité critique qui a été rapidement corrigée, Ninja Forms a reçu une mise à jour forcée de WordPress.org et BackupBuddy a également corrigé une faille de sécurité de haute gravité et a proposé la version mise à jour à ses utilisateurs.

Ainsi, bien que WordPress ait des problèmes de sécurité comme tous les autres logiciels, il a mis en place des sécurités qui y répondent rapidement. L’un des plus grands obstacles qui reste est d’amener les utilisateurs à appliquer les solutions.

Statistiques sur la sécurité des thèmes et plugins WordPress

En tant que CMS le plus populaire, WordPress est livré avec un grand nombre d’extensions, dont beaucoup sont gratuites. Au moment d’écrire ces lignes, il existe près de 60 000 plugins dans le seul répertoire WordPress, ainsi que plus de 11 000 thèmes.

Cela ne compte même pas les milliers d’autres plugins disponibles dans d’autres parties du Web, souvent en tant que solutions premium. C’est ce qui est cool avec WordPress : quoi que vous recherchiez, il existe probablement déjà une solution pour cela.

Dans le même temps, chaque extension que vous installez sur votre site est un point d’entrée potentiel pour un attaquant. Les thèmes et plugins relèvent de la responsabilité des développeurs individuels. Ils ne sont pas testés aussi rigoureusement que le noyau WordPress et sont donc plus susceptibles de contenir des failles de sécurité. De plus, parfois les développeurs cessent tout simplement de prendre en charge leur travail et celui-ci devient obsolète.

Il n’est donc pas surprenant qu’ils jouent un rôle important dans les statistiques de sécurité de WordPress, notamment les plugins. En fait, selon WPScan.com, ils contiennent la grande majorité des vulnérabilités WordPress.

Patchstack est arrivé à des chiffres similaires.

Apparemment, ce sont surtout les plugins gratuits qui posent problème. Sucuri rapporte que les thèmes et plugins premium représentent 8,62 % de toutes les vulnérabilités tierces, tandis que les extensions gratuites représentent 91,38 %.

Ici aussi, un problème courant est que les propriétaires de sites Web utilisent des versions obsolètes présentant des problèmes de sécurité connus. Sucuri rapporte en outre que 36 % de tous les sites Web compromis avaient au moins un plugin ou un thème vulnérable présent lors de leur réparation.

Les extensions populaires sont responsables de la majorité des hacks

La répartition des plugins et des thèmes qui posent problème est également intéressante. Selon Sucuri, les composants vulnérables les plus fréquemment détectés comprenaient les versions obsolètes de Contact Form 7 (27,44 %), Freemius Library (20,85 %) et WooCommerce (14,51 %). Il y en a quelques autres.

Alors, pourquoi permettons-nous encore à ces plugins d’exister s’ils font un travail aussi médiocre en matière de sécurité ? Ici, la même chose s’applique à WordPress en général. Ce n’est pas nécessairement que ces plugins sont moins sécurisés, ils sont simplement très populaires. Contact Form 7 compte à lui seul plus de cinq millions d’installations.

De plus, ces développeurs font du bon travail pour résoudre les problèmes de sécurité une fois qu’ils sont connus. Le problème ne se produit que lorsque les utilisateurs ne les appliquent pas. De plus, des efforts sont en cours pour remédier aux lacunes des plugins. Il y a eu une proposition récente pour un plugin Checker similaire au plugin de vérification de thème qui est en préparation.

Alors, qu’apprenons-nous de cela ? Gardez vos thèmes et plugins à jour, tout comme le reste de votre site WordPress.

Vulnérabilités de connexion

Les identifiants de connexion sont un autre facteur dans les sites Web qui subissent un piratage réussi. Les noms d’utilisateur et mots de passe faibles présentent un risque sérieux pour la sécurité. Ils sont facilement compromis par des attaques par force brute et par le credential stuffing.

Lorsque quelque chose comme cela se produit, peu importe la mise à jour de votre site ou la sécurité de vos plugins et thèmes. Une fois que quelqu’un a un accès complet à votre site, il y a peu de limites à ce qu’il peut faire.

Par exemple, Sucuri a trouvé des utilisateurs administrateurs WordPress malveillants dans 32,69 % des sites Web infectés. Juste pour le plaisir, voici les noms d’utilisateur et les e-mails qu’ils ont le plus utilisés.

En revanche, c’est l’une des parties les plus sous le contrôle direct des utilisateurs. Par exemple, WordPress est livré avec un générateur automatique de mots de passe sécurisés. Pourquoi ne pas en profiter ?

Cependant, vous devez faire de même pour les autres comptes liés à votre site Web, comme l'hébergement et les informations d'identification FTP. De plus, il existe des mesures supplémentaires pour protéger votre page de connexion, telles que la limitation des tentatives de connexion et l'authentification à deux facteurs.

Statistiques de sécurité de l'hébergement

L’environnement d’hébergement et les technologies qui y sont présentes jouent également un rôle en matière de sécurité, notamment la version PHP sur laquelle WordPress fonctionne. Par exemple, PHP 7 a introduit de meilleures fonctionnalités de sécurité que son prédécesseur PHP 5.

De plus, les développeurs PHP ont une politique de fin de vie assez stricte pour leurs anciennes versions. Au moment d’écrire ces lignes, tout ce qui est antérieur à la version 8.0 ne reçoit plus de support ni de correctifs de sécurité et il est donc préférable de l’éviter à long terme.

Ici, WordPress n'a pas l'air très bien. Alors que la grande majorité des sites Web WordPress fonctionnent avec au moins PHP 7.0, dont près de la moitié sous 7.4, seulement un peu plus d’un quart utilisent les versions activement prises en charge.

Il y en a même 6 % qui fonctionnent encore sur des versions PHP 5.x, qui n'ont pas bénéficié de support depuis des années. Donc, si vous ne l'avez pas encore fait, mettez à jour votre version PHP.

Statistiques de sécurité WordPress en bref

Aucun CMS n'est sécurisé à 100%, en fait rien de connecté au web ne l'est. Pourtant, malgré ce que vous pourriez entendre ailleurs, les statistiques de sécurité de WordPress sont globalement très bonnes. Oui, il y a des problèmes qui doivent être résolus, mais la plupart d’entre eux sont activement résolus.

Si vous souhaitez contribuer à améliorer encore davantage les chiffres, vous pouvez le faire en suivant ces bonnes pratiques :

• Gardez WordPress et ses plugins et thèmes à jour
• Utilisez uniquement des extensions provenant de sources réputées
• Utilisez des mots de passe et des informations d'identification forts pour tout ce qui concerne votre site Web
• Pensez à utiliser un pare-feu et/ou un CDN
• Limiter les tentatives de connexion
• Utilisez un certificat SSL pour crypter le trafic sur votre site Web, y compris votre tableau de bord
• Choisissez un hébergeur qui vous permet de maintenir votre version PHP à jour

Si vous les suivez, vous devriez avoir des statistiques de sécurité positives au moins pour votre propre site WordPress.

Quelles statistiques sur l’état de la sécurité de WordPress trouvez-vous les plus intéressantes ? Faites-le nous savoir dans les commentaires ci-dessous !