Statistiques de piratage WordPress (combien de sites Web sont piratés ?)

Vous voulez savoir combien de sites Web WordPress sont piratés ? Alors vous ne voudrez pas manquer ces statistiques de piratage WordPress !

WordPress est le CMS le plus populaire au monde. Il alimente plus de sites Web que tout autre logiciel. Mais malheureusement, cette popularité en fait également l'une des cibles les plus courantes des pirates.

Chaque année, des millions de sites WordPress sont victimes de cyberattaques. Si vous ne voulez pas faire partie de ce groupe, il est utile de rester informé.

Dans cet esprit, nous allons partager plus de 50 statistiques de piratage WordPress que les propriétaires de sites Web et les administrateurs doivent connaître cette année.

Les statistiques ci-dessous vous aideront à en savoir plus sur l'état actuel de la sécurité de WordPress en 2022. Elles révéleront les vulnérabilités de site Web les plus courantes exploitées par les pirates et mettront en évidence certaines des meilleures pratiques qui peuvent vous aider à assurer la sécurité de votre site Web.

Prêt? Commençons!

Combien de sites WordPress sont piratés ?

Personne ne sait exactement combien de sites Web WordPress sont piratés, mais notre meilleure estimation est d'au moins 13 000 par jour. Cela représente environ 9 par minute, 390 000 par mois et 4,7 millions par an.

Nous sommes arrivés à cette estimation en nous basant sur le fait que Sophos rapporte que plus de 30 000 sites Web sont piratés quotidiennement et que 43 % de tous les sites Web sont construits sur WordPress.

Quel pourcentage de sites Web WordPress sont piratés ?

Selon Sucuri, 4,3 % des sites Web WordPress qui ont été analysés avec SiteCheck (un scanner de sécurité de site Web populaire) en 2021 avaient été piratés (infectés). C'est environ 1 site Web sur 25.

Bien que tous les sites Web WordPress n'utilisent pas SiteCheck, il s'agit néanmoins probablement d'une bonne indication du pourcentage de sites Web WordPress totaux qui sont piratés.

Sucuri a également constaté que 10,4 % des sites Web WordPress risquaient d'être piratés car ils utilisaient des logiciels obsolètes.

Quelle est la plate-forme CMS la plus souvent piratée ?

WordPress était le CMS (système de gestion de contenu) le plus couramment piraté en 2021, selon le rapport annuel sur les sites Web piratés de Sucuri. Plus de 95,6 % des infections détectées par Sucuri concernaient des sites Web exécutant WordPress.

Top 5 des CMS les plus piratés :

1. WordPress – 95,6 %
2. Joomla– 2,03 %
3. Drupal – 0,83 %
4. Magento– 0,71 %
5. Open Cart – 0,35 %

Cependant, il convient de noter que le fait que la plupart des infections détectées par Sucuri se trouvent sur des sites Web qui exécutent WordPress ne signifie pas nécessairement qu'il y a quelque chose d'intrinsèquement vulnérable dans le logiciel principal de WordPress.

Au contraire, il est plus probable que cela reflète simplement le fait que WordPress est de loin le CMS le plus couramment utilisé et que les utilisateurs de WordPress sont plus susceptibles d'utiliser des plugins comme Sucuri que les utilisateurs d'autres logiciels CMS.

Sources : Sophos, Colorlib, Sucuri ¹

Quels sont les hacks WordPress les plus courants ?

Les logiciels malveillants sont le type de piratage WordPress le plus courant vu par Sucuri lors de la réponse à un incident. Au total, 61,65 % des infections détectées par Sucuri ont été classées comme malwares. Parmi les autres infections courantes, citons les piratages de porte dérobée, le spam SEO, les hacktools et les hacks de phishing.

Les meilleurs hacks WordPress trouvés par Sucuri

1. Logiciels malveillants 61,65 %
2. Porte dérobée – 60,04 %
3. Spam de référencement – ​​52,60 %
4. Outil de piratage - 20,27%
5. Hameçonnage – 7,39 %
6. Défigurations – 6,63 %
7. Envoi postal – 5,92 %
8. Compte-gouttes – 0,63 %

Logiciels malveillants

Les logiciels malveillants sont le type de piratage WordPress le plus courant trouvé par Sucuri. Il s'agit d'un terme large et fourre-tout qui fait référence à tout type de logiciel malveillant utilisé par les cybercriminels pour nuire ou exploiter votre site Web WordPress. Le type de malware le plus courant est le malware PHP.

Les logiciels malveillants sont l'un des types d'infections de sécurité les plus dommageables car, contrairement aux portes dérobées et au spam SEO, ils exposent souvent les visiteurs de votre site à une sorte d'action malveillante.

Par exemple, un exemple courant de malware est une infection SiteURL/HomeURL, qui consiste à infecter votre site avec un code qui redirige vos visiteurs vers des domaines malveillants ou frauduleux afin de voler leurs informations de connexion.

Un autre exemple est l'écrémage des cartes de crédit : une attaque basée sur le Web dans laquelle les pirates injectent un code malveillant sur les sites Web de commerce électronique afin de voler les informations de carte de crédit et de débit des visiteurs. Fait intéressant, les statistiques montrent que 34,5% des sites Web infectés par un skimmer de carte de crédit fonctionnent sur WordPress.

Porte arrière

Les portes dérobées sont le deuxième type de piratage WordPress le plus courant trouvé par Sucuri. Comme leur nom l'indique, ces types d'infections permettent aux pirates de contourner les canaux de connexion habituels afin d'accéder au backend de votre site Web via une "porte dérobée" secrète et de compromettre l'environnement.

Spam de référencement

Le spam SEO est le troisième piratage le plus courant trouvé par Sucuri et est présent dans plus de la moitié de toutes les infections.

Ce type de piratage consiste à infecter des sites afin d'améliorer l'optimisation des moteurs de recherche et de diriger le trafic vers des sites Web tiers en configurant des redirections, en publiant des spams et en insérant des liens.

Pendant ce temps, cela endommage le score SEO de votre propre domaine et peut avoir un impact négatif sur votre position de classement organique dans les moteurs de recherche comme Google.

Statistiques clés :

• 32,2% des infections de spam SEO concernent des injecteurs de spam, qui parsèment l'environnement compromis de liens de spam cachés à des fins de référencement.
• D'autres types publient une tonne de blogs à des fins de référencement, généralement sur des sujets de spam.
• 28% des infections SEO Spam concernent les produits pharmaceutiques (Viagra, Cialis, etc.)
• 22 % étaient liés au spam SEO japonais (ces campagnes polluent les résultats de recherche du site Web de la victime avec des produits de créateurs contrefaits et apparaissent dans les SERP en texte japonais.
• Les campagnes de redirection pointent le plus souvent vers les domaines de premier niveau .ga et .ta

Sources : Sucuri ¹

Vulnérabilités de sécurité de WordPress

Examinons ensuite quelques statistiques WordPress qui nous en disent plus sur les vulnérabilités de sécurité que les pirates exploitent le plus souvent.

Quelle est la plus grande vulnérabilité de sécurité de WordPress ?

Les thèmes et les plugins sont les plus grandes vulnérabilités de sécurité de WordPress. 99,42 % de toutes les vulnérabilités de sécurité de l'écosystème WordPress provenaient de ces composants en 2021. C'est une augmentation par rapport à 96,22 % en 2020.

Pour décomposer cela un peu plus loin, 92,81% des vulnérabilités provenaient de plugins et 6,61% de thèmes.

Parmi les plugins WordPress vulnérables, 91,38 % étaient des plugins gratuits disponibles via le référentiel WordPress.org, et seulement 8,62 % étaient des plugins premium vendus sur des marchés tiers comme Envato.

Statistiques clés :

• 42% des sites WordPress ont au moins un composant vulnérable installé.
• Fait intéressant, seulement 0,58 % des vulnérabilités de sécurité trouvées par Patchstack provenaient du logiciel principal de WordPress.

Principales vulnérabilités de WordPress par type

Les vulnérabilités de script intersite (CSS) représentent près de la moitié (~ 50 %) de toutes les vulnérabilités ajoutées à la base de données de Patchstack en 2021. Ce chiffre est en hausse par rapport à 36 % en 2020.

Les autres vulnérabilités courantes de la base de données incluent :

• Autres types de vulnérabilité combinés – 13,3 %
• Contrefaçon de requêtes intersites (CSRF) – 11,2 %
• Injection SQL (SQLi) – 6,8 %
• Téléchargement arbitraire de fichiers - 6,8 %
• Authentification brisée – 2,8 %
• Divulgation d'informations – 2,4 %
• Vulnérabilité de contournement – ​​1,1 %
• Escalade des privilèges - 1,1 %
• Exécution de code à distance (RCE) – 0,9 %

Principales vulnérabilités de WordPress par gravité

Patchstack classe chaque vulnérabilité dans sa base de données en fonction de sa gravité. Pour ce faire, il utilise le système CVSS (Common Vulnerability Scoring System), qui attribue une valeur numérique entre 0 et 10 à chaque vulnérabilité en fonction de sa gravité.

La plupart des vulnérabilités WordPress identifiées par Patchstack l'année dernière ont reçu un score CVSS compris entre 4 et 6,9, ce qui en fait une gravité "moyenne".

• 3,4 % des vulnérabilités identifiées étaient de gravité critique (score CVSS de 9 à 10)
• 17,9 % des vulnérabilités identifiées étaient de gravité élevée (score CVSS de 7 à 8,9)
• 76,8 % des vulnérabilités identifiées étaient de gravité moyenne (score CVSS de 4 à 6,9)
• 1,9 % des vulnérabilités identifiées étaient de gravité faible (score CVSS de 0,1 à 3,9)

Principales vulnérabilités attaquées

Les quatre principales vulnérabilités « attaquées » dans la base de données de Patchstack étaient :

• OptinMonster (version 2.7.4 et antérieure) - API REST non protégée contre la divulgation d'informations sensibles et accès API non autorisé
• Capacités de PublishPress (version 2.3 et antérieure) - Modification des paramètres non authentifiés
• Booster pour WooCommerce (version 5.4.3 et antérieure) - Contournement d'authentification
• Image Hover Effects Ultimate (version 9.6.1 et antérieure) - Mise à jour des options arbitraires non authentifiées

Source : Sucuri ¹ , Pile de patchs

Statistiques de piratage du plugin WordPress

Comme nous l'avons mentionné précédemment, les plugins WordPress sont la source la plus courante de vulnérabilités de sécurité qui permettent aux pirates d'infiltrer ou de compromettre votre site Web. Ensuite, nous examinerons certaines statistiques de piratage WordPress liées aux plugins WordPress.

Au cas où vous ne le sauriez pas déjà, les plugins sont de petites applications logicielles tierces que vous pouvez installer et activer sur votre site WordPress pour étendre ses fonctionnalités.

Combien y a-t-il de vulnérabilités de plugin WordPress ?

Il y avait 35 vulnérabilités critiques trouvées dans les plugins WordPress en 2021. Fait inquiétant, deux d'entre elles se trouvaient dans des plugins qui avaient plus d'un million d'installations : All in One SEO et WP Fastest Cache.

La bonne nouvelle est que les deux vulnérabilités ci-dessus ont été rapidement corrigées par les développeurs du plugin. Cependant, 29 % du nombre total de plugins WordPress présentant des vulnérabilités critiques n'ont pas reçu de correctif.

Quels sont les plugins WordPress les plus vulnérables ?

Le formulaire de contact 7 était le plugin WordPress vulnérable le plus couramment identifié. Il a été trouvé dans 36,3% de tous les sites Web infectés au point d'infection.

Cependant, il est important de souligner que cela ne signifie pas nécessairement que le formulaire de contact 7 était le vecteur d'attaque que les pirates ont exploité dans ces cas, mais seulement qu'il a contribué à l'environnement global non sécurisé.

TimThumb était le deuxième plugin WordPress vulnérable le plus couramment identifié au point d'infection et a été trouvé dans 8,2 % de tous les sites Web infectés. Ceci est particulièrement surprenant étant donné que la vulnérabilité TimThumb a plus de dix ans.

Top 10 des plugins WordPress vulnérables identifiés :

Combien de plugins WordPress devriez-vous avoir ?

Les meilleures pratiques suggèrent que les propriétaires de sites Web et les administrateurs doivent avoir le moins de plugins WordPress possible. Moins vous avez de plugins, moins vous risquez de rencontrer une vulnérabilité.

Le site WordPress moyen a 18 plugins et thèmes différents installés. C'est 5 de moins que l'an dernier et à première vue, cela semble être un pas dans la bonne direction.

Cependant, un plus grand nombre de ces plugins et thèmes se sont avérés obsolètes cette année par rapport à l'année dernière. En moyenne, 6 des 18 plugins installés sur les sites Web étaient obsolètes, contre seulement 4 sur 23 l'année dernière.

Quel est le plugin de sécurité WordPress le plus populaire ?

Jetpack est le plugin de sécurité WordPress le plus populaire du répertoire de plugins WordPress, avec plus de 5 millions de téléchargements. Cependant, on peut se demander si Jetpack peut ou non être classé comme un véritable plugin de sécurité.

Bien qu'il inclue des fonctionnalités de sécurité telles que 2FA, la détection des logiciels malveillants et la protection Brute Force, il inclut également d'autres fonctionnalités telles que l'optimisation de la vitesse, l'analyse et les outils de conception. Cela en fait plus un plugin tout-en-un qu'un plugin de sécurité.

En ce qui concerne les plugins de sécurité dédiés , Wordfence est le plus populaire, avec 4 millions de téléchargements sur la base de données des plugins WordPress.

Vulnérabilités du thème WordPress

12,4 % des vulnérabilités des thèmes WordPress identifiées par Patchstack avaient un score CVSS critique (9,0 – 10,0). Et, fait inquiétant, 10 thèmes présentaient un risque de sécurité CVSS 10.0 qui compromet l'ensemble du site de l'utilisateur via un téléchargement de fichier arbitraire non authentifié et la suppression d'options.

Sources : Pile de patchs, WordPress ¹ , WordPress ²

Comment pouvez-vous protéger votre site Web WordPress contre le piratage ?

Vous pouvez protéger votre site Web WordPress contre le piratage en réduisant votre utilisation de plugins et de thèmes, en vous assurant de mettre à jour fréquemment tous les logiciels et de corriger les vulnérabilités identifiées, et en renforçant WordPress.

Voici quelques statistiques qui en disent plus sur l'augmentation de la sécurité de votre site WordPress.

Recommandations de durcissement WordPress les plus courantes

Selon les données de Sucuri, plus de 84% des sites Web n'avaient pas de pare-feu d'application de site Web (WAF), ce qui en fait la principale recommandation de renforcement de WordPress.

Les WAF aident à corriger virtuellement les vulnérabilités connues et à protéger votre site contre les attaques DDoS, les spams de commentaires et les robots malveillants.

Il a également été constaté que 83 % des sites Web manquaient X-Frame-Options, un en-tête de sécurité qui contribue à améliorer votre sécurité en vous protégeant contre le détournement de clics et en empêchant les pirates d'intégrer votre site Web à un autre via une iframe. Cela fait de X-Frame-Options la deuxième recommandation de durcissement la plus courante.

Top 5 des recommandations de durcissement les plus courantes détectées par Sucuri :

1. WAF manquant - 84%
2. Options de cadre X - 83%
3. Pas de CSP – 82 %
4. Sécurité stricte des transports - 72%
5. Pas de redirection vers HTTPS – 17 %

Comment les administrateurs de sites Web protègent-ils leurs sites ?

Selon une enquête auprès des administrateurs et des propriétaires de sites Web, 82 % ont entrepris un renforcement de la sécurité, une pratique qui consiste à prendre des mesures pour rendre votre site WordPress plus difficile à pirater.

Parmi ceux-ci, 27 % ont utilisé un plugin pour renforcer leur site, 25 % ont entrepris un durcissement manuel et 30 % ont fait une combinaison des deux. Seuls 18 % n'ont fait aucun durcissement.

Statistiques clés :

• 81% des administrateurs WordPress interrogés ont au moins un plugin de pare-feu installé
• 64% des administrateurs WordPress interrogés utilisent 2FA (authentification à deux facteurs), tandis que 36% ne le font pas
• 65% des administrateurs WordPress interrogés utilisent des plugins de journal d'activité.
• 96% des administrateurs WordPress et des propriétaires de sites Web interrogés considèrent la sécurité WordPress comme très importante. Et 4 % la considèrent comme quelque peu importante
• 43% des administrateurs passent 1 à 3 heures par mois sur la sécurité de WordPress
• 35% des administrateurs passent plus de 3 heures par mois sur la sécurité de WordPress
• 22% des administrateurs passent moins d'une heure sur la sécurité de WordPress.

Comment les professionnels du web sécurisent-ils les sites de leurs clients ?

Selon une enquête récente, près de la moitié de tous les professionnels du Web qui travaillent avec des clients s'appuient sur des plugins de sécurité premium pour sécuriser les sites Web de leurs clients :

Principales méthodes utilisées par les professionnels du Web pour sécuriser les sites clients :

• 45,6 % paient pour des plugins de sécurité premium
• 42,4 % utilisent des plugins de sécurité gratuits
• 31,2 % paient un prestataire de sécurité professionnel
• 28,8 % gèrent les problèmes de sécurité en interne
• 24,8 % orientent leurs clients vers un prestataire de sécurité professionnel
• 10,4 % utilisent d'autres méthodes
• 6,4 % disent à leurs clients d'utiliser des plugins gratuits
• 5,6 % n'ont pas de plan pour la sécurité du site Web

Principales tâches de sécurité effectuées par les professionnels du Web

La mise à jour de WordPress (ou de tout CMS utilisé par le client) et des plugins est la tâche de sécurité la plus courante effectuée par les professionnels du Web, les trois quarts de tous les répondants au sondage affirmant que c'est quelque chose qu'ils font.

Principales tâches que les professionnels de la sécurité Web effectuent pour leurs clients :

• 75 % mettent à jour le CMS et les plugins
• 67 % de sites de sauvegarde
• 57% installent des certificats SSL
• 56 % surveillent ou analysent les sites Web à la recherche de logiciels malveillants
• 38 % corrigent les sites liés à des problèmes de sécurité
• 34 % de correctifs de vulnérabilités

À quelle fréquence devez-vous mettre à jour votre site WordPress ?

Comme nous l'avons mentionné précédemment, la mise à jour de votre site Web WordPress est extrêmement importante du point de vue de la sécurité.

La plupart des gestionnaires de sites mettent à jour leur site Web sur une base hebdomadaire (35 %), mais 20 % effectuent des mises à jour quotidiennement et 18 % le font mensuellement. 21 % des gestionnaires de sites ont une sorte de mise à jour automatique configurée afin qu'ils n'aient pas à le faire manuellement.

Statistiques clés :

• 52% des propriétaires et administrateurs WP interrogés ont activé les mises à jour automatiques pour les logiciels, plugins et thèmes WP.
• 25 % testent toujours les mises à jour dans un environnement de test ou de préproduction en premier
• 32 % testent parfois les mises à jour
• 17 % ne testent jamais les mises à jour
• 26 % ne testent que les mises à jour majeures

Sources : Sucuri ² , Sucuri ³ , WP White Security

Les coûts du piratage WordPress

Se faire pirater peut coûter une petite fortune aux entreprises. La suppression professionnelle des logiciels malveillants coûte en moyenne 613 $, mais cela peut coûter des milliers, voire des millions de dollars de plus pour se remettre d'une grave violation de données.

Outre les coûts monétaires, le piratage WordPress peut également affecter indirectement les coûts des entreprises en affectant les revenus et en endommageant la réputation de la marque.

Combien coûte la réparation d'un site WordPress piraté ?

Le coût moyen de la suppression des logiciels malveillants WordPress est de 613 $, mais cela peut varier considérablement d'un cas à l'autre. Individuellement, les prix variaient de 50 $ jusqu'à 4 800 $.

En comparaison, payer pour la sécurité d'un site Web afin de protéger votre site contre les logiciels malveillants ne coûte en moyenne que 8 $ par site/mois, ce qui en fait une évidence pour la plupart des propriétaires de sites.

Combien coûtent les violations de données aux entreprises ?

Le piratage est responsable de 45 % des violations de données dans le monde. Et en moyenne, le coût moyen d'une violation de données est de 3,86 millions de dollars. Mais bien sûr, cela varie en fonction de la taille de l'organisation, de l'industrie, etc.

Quels sont les plus gros impacts du piratage WordPress ?

Selon les professionnels du web interrogés, le plus gros impact d'un piratage sur l'activité de leur client est une perte de temps (59,2%). Parmi les autres impacts négatifs, citons :

• Perte de revenus – 27,2 %
• Perte de confiance des clients – 26,4 %
• Perte de réputation de marque – 25,6 %
• Aucune interruption – 17,6 %

Sources : Patchstack, Statista, Sucuri ³

Quelle est la version la plus sécurisée de WordPress ?

La version la plus sécurisée de WordPress est toujours la dernière version. Au moment de la rédaction, il s'agit de WordPress 6.0.2.

À quelle fréquence WordPress publie-t-il des mises à jour de sécurité ?

WordPress publie généralement plusieurs mises à jour de sécurité et de maintenance chaque année. Il y en avait 4 en 2021. La dernière version de sécurité (au moment de la rédaction) était WordPress 6.0.2, qui corrigeait trois problèmes de sécurité : une vulnérabilité XSS, un problème d'échappement de sortie et une éventuelle injection SQL.

Les anciennes versions de WordPress sont-elles facilement piratées ?

Seuls 50,3 % des sites Web WordPress se sont avérés obsolètes lorsqu'ils sont infectés, ce qui suggère que l'exécution d'une version obsolète du logiciel WordPress n'est qu'approximativement corrélée à l'infection. Néanmoins, les meilleures pratiques suggèrent que vous devriez toujours utiliser la dernière version de WordPress pour minimiser votre risque de piratage.

Sources : Sucuri ¹ , WordPress ³

Dernières pensées

Cela conclut notre tour d'horizon des statistiques de piratage WordPress les plus importantes pour 2022. Nous espérons que vous avez trouvé ces données utiles !

Si vous voulez en savoir plus sur WordPress, consultez notre résumé des statistiques WordPress.

Vous pouvez également en savoir plus sur la façon de protéger votre site contre les pirates en lisant notre guide détaillé sur la façon d'améliorer la sécurité de WordPress en 2022.

Bonne chance!