Une petite brève pour vous informer des dernières alertes en ce début d’année, voici celui de la semaine 3.
Les chiffres de la semaine
Du 13 au 19 janvier 2025, 461 nouvelles vulnérabilités ont été découvertes. Ça peut sembler beaucoup, mais c’est en réalité une bonne chose. Cela signifie que la communauté est vigilante et travaille dur pour rendre WordPress plus sûr.
Les vulnérabilités les plus courantes
Voici un petit top 3 des vulnérabilités les plus fréquentes :
- Cross-site Scripting (XSS) : 198 cas
- Cross-Site Request Forgery (CSRF) : 117 cas
- Missing Authorization : 38 cas
Ces chiffres nous montrent où concentrer nos efforts de sécurité, sans toutefois négliger les autres risques.
Statut des Correctifs de Vulnérabilités
| État du Correctif | Nombre de Vulnérabilités |
|---|---|
| Corrigées | 86 |
| Non Corrigées | 318 |
Vulnérabilités par Gravité CVSS
| Niveau de Gravité | Nombre de Vulnérabilités |
|---|---|
| Faible | 2 |
| Moyen | 367 |
| Élevé | 26 |
| Critique | 9 |
Vulnérabilités par Type CWE
| Type de Vulnérabilité | Nombre de Vulnérabilités |
|---|---|
| Neutralisation Incorrecte des Entrées lors de la Génération de Pages Web (Cross-site Scripting) | 198 |
| Cross-Site Request Forgery (CSRF) | 117 |
| Autorisation Manquante | 38 |
| Neutralisation Incorrecte des Éléments Spéciaux dans une Commande SQL (Injection SQL) | 16 |
| Téléchargement Non Restreint de Fichier de Type Dangereux | 9 |
| Exposition d’Informations Sensibles à un Acteur Non Autorisé | 6 |
| Contrôle Incorrect du Nom de Fichier pour Include/Require en PHP (Inclusion de Fichier Distant PHP) | 4 |
| Attribution Incorrecte de Privilèges | 4 |
| Exposition d’Informations Personnelles Privées à un Acteur Non Autorisé | 2 |
| Limitation Incorrecte du Chemin d’Accès à un Répertoire Restreint (Traversée de Chemin) | 2 |
| Contournement d’Autorisation via une Clé Contrôlée par l’Utilisateur | 1 |
| Dépendance à un Composant Tiers Vulnérable | 1 |
| Désérialisation de Données Non Fiables | 1 |
| Contrôle d’Accès Incorrect | 1 |
| Authentification Incorrecte | 1 |
| Contrôle Incorrect de la Génération de Code (Injection de Code) | 1 |
| Gestion Incorrecte des Privilèges | 1 |
| Changement de Mot de Passe Non Vérifié | 1 |
Que faire pour rester serein ?
- Mettez à jour régulièrement : WordPress, vos thèmes et vos plugins. C’est la base !
- Choisissez vos plugins avec soin : Préférez ceux qui sont régulièrement mis à jour.
- Utilisez un plugin de sécurité : SecuPress est un excellent choix pour surveiller votre site.
- Formez-vous : Plus vous en saurez sur la sécurité WordPress, plus vous serez tranquille.
- Faites appel à des spécialistes
Le mot de la fin (rappel)
La sécurité WordPress, c’est un peu comme prendre soin de sa santé. Avec de bonnes habitudes et des check-ups réguliers, on peut dormir sur ses deux oreilles. Alors, gardez le sourire et continuez à créer de superbes sites WordPress !
N’oubliez pas : la connaissance, c’est le pouvoir. Restez informés, restez sereins !
source : Wordfence , traduction libre
