La majorité des vulnérabilités WordPress, dont environ 67 % découvertes en 2023, sont classées comme étant de niveau moyen. Comme ils sont les plus courants, il est logique de comprendre ce qu’ils sont et quand ils représentent une réelle menace pour la sécurité. Voici les faits sur ces types de vulnérabilités, ce que vous devez savoir à leur sujet.
Qu’est-ce qu’une vulnérabilité de niveau moyen ?
Un porte-parole de WPScan, une société d'analyse de sécurité WordPress appartenant à Automattic, a expliqué qu'ils utilisent le système commun de notation des vulnérabilités (scores CVSS) pour évaluer la gravité d'une menace. Les scores sont basés sur un système de numérotation de 1 à 10 et des notes allant de faible, moyen, élevé et critique.
Le porte-parole de WPScan a expliqué :
« Nous ne signalons pas les niveaux comme une chance de se produire, mais la gravité de la vulnérabilité sur la base du cadre CVSS de FIRST. D'une manière générale, un score de gravité moyen signifie soit que la vulnérabilité est difficile à exploiter (par exemple, une injection SQL qui nécessite un compte hautement privilégié), soit que l'attaquant ne gagne pas grand-chose d'une attaque réussie (par exemple, un utilisateur non authentifié peut obtenir le contenu des articles de blog privés).
Nous ne les voyons généralement pas autant utilisés dans les attaques à grande échelle, car elles sont moins utiles que les vulnérabilités de plus grande gravité et plus difficiles à automatiser. Cependant, ils pourraient être utiles dans des attaques plus ciblées, par exemple lorsqu'un compte d'utilisateur privilégié a déjà été compromis ou qu'un attaquant sait que certains contenus privés contiennent des informations sensibles qui lui sont utiles.
Nous recommandons toujours de mettre à niveau les extensions vulnérables dès que possible. Toutefois, si la gravité est moyenne, il est moins urgent de le faire, car le site est moins susceptible d'être victime d'une attaque automatisée à grande échelle.
Un utilisateur non formé peut trouver le rapport un peu difficile à digérer. Nous avons fait de notre mieux pour le rendre aussi adapté que possible à tous les publics, mais je comprends qu'il serait impossible de couvrir tout le monde sans le rendre trop ennuyeux ou trop long. Et la même chose peut arriver avec la vulnérabilité signalée. L'utilisateur qui consomme le flux aura besoin de connaissances de base sur la configuration de son site Web pour déterminer quelle vulnérabilité nécessite une attention immédiate et laquelle peut être gérée par le WAF, par exemple.
Si l'utilisateur sait, par exemple, que son site ne permet pas aux utilisateurs de s'y abonner. Tous les rapports de vulnérabilités Subscriber+, quel que soit le niveau de gravité, peuvent être reconsidérés. En supposant que l'utilisateur maintienne un examen constant de la base d'utilisateurs du site.
Il en va de même pour les rapports contributeur+ ou même les niveaux administrateur. Si la personne entretient un petit réseau de sites WordPress, les vulnérabilités admin+ sont intéressantes pour elle puisqu’un administrateur compromis d’un des sites peut être utilisé pour attaquer le super administrateur.
Vulnérabilités au niveau des contributeurs
De nombreuses vulnérabilités de gravité moyenne nécessitent un accès au niveau du contributeur. Un contributeur est un rôle d'accès qui donne à cet utilisateur enregistré la possibilité d'écrire et de soumettre du contenu, bien qu'en général il n'ait pas la possibilité de le publier.
La plupart des sites Web n'ont pas à se soucier des menaces de sécurité qui nécessitent une authentification au niveau du contributeur, car la plupart des sites n'offrent pas ce niveau d'accès.
Chloe Chamberland – Responsable des renseignements sur les menaces chez Wordfence a expliqué que la plupart des propriétaires de sites ne devraient pas s'inquiéter des vulnérabilités de niveau moyen qui nécessitent un accès au niveau du contributeur afin de les exploiter, car la plupart des sites WordPress n'offrent pas ce niveau d'autorisation. Elle a également souligné que ces types de vulnérabilités sont difficiles à développer car leur exploitation est difficile à automatiser.
Chloé a expliqué :
« Pour la plupart des propriétaires de sites, les vulnérabilités qui nécessitent un accès de niveau contributeur ou supérieur pour être exploitées ne sont pas quelque chose dont ils ont besoin de s'inquiéter. En effet, la plupart des sites n'autorisent pas l'inscription au niveau des contributeurs et la plupart des sites n'ont pas de contributeurs sur leur site.
De plus, la plupart des attaques WordPress sont automatisées et recherchent des retours de grande valeur faciles à exploiter, de sorte qu’il est peu probable que de telles vulnérabilités soient ciblées par la plupart des auteurs de menaces WordPress.
Les éditeurs de sites Web qui devraient s'inquiéter
Chloé a également déclaré que les éditeurs qui offrent des autorisations au niveau des contributeurs peuvent avoir plusieurs raisons de s'inquiéter de ce type d'exploits :
« Le problème des exploits qui nécessitent un accès au niveau du contributeur pour être exploités survient lorsque les propriétaires de sites autorisent l'enregistrement au niveau du contributeur, que les contributeurs ont des mots de passe faibles ou que le site a un autre plugin/thème installé avec une vulnérabilité qui permet un accès au niveau du contributeur d'une manière ou d'une autre. et l'attaquant veut vraiment pénétrer sur votre site Web.
Si un attaquant parvient à mettre la main sur l'un de ces comptes et qu'il existe une vulnérabilité au niveau du contributeur, il peut alors avoir la possibilité d'élever ses privilèges et de causer de réels dommages à la victime. Prenons par exemple une vulnérabilité de Cross-Site Scripting au niveau du contributeur.
En raison de la nature de l'accès au niveau du contributeur, un administrateur serait très susceptible de prévisualiser la publication pour examen, auquel cas tout code JavaScript injecté s'exécuterait - cela signifie que l'attaquant aurait une chance de succès relativement élevée car l'administrateur prévisualisait la publication. pour publication.
Comme pour toute vulnérabilité de Cross-Site Scripting, cela peut être exploité pour ajouter un nouveau compte utilisateur administratif, injecter des portes dérobées et essentiellement faire tout ce qu'un administrateur de site pourrait faire. Si un attaquant sérieux a accès à un compte de niveau contributeur et n'a aucun autre moyen trivial d'élever ses privilèges, il exploitera probablement ce script intersite au niveau du contributeur pour obtenir un accès supplémentaire. Comme mentionné précédemment, vous ne verrez probablement pas ce niveau de sophistication cibler la grande majorité des sites WordPress, ce sont donc les sites de très grande valeur qui doivent se préoccuper de ces problèmes.
En conclusion, même si je ne pense pas qu'une grande majorité des propriétaires de sites aient besoin de s'inquiéter des vulnérabilités au niveau des contributeurs, il est néanmoins important de les prendre au sérieux si vous autorisez l'enregistrement des utilisateurs à ce niveau sur votre site, vous n'imposez pas une approche unique et forte. les mots de passe des utilisateurs et/ou vous disposez d’un site Web WordPress de grande valeur.
Voir également:
- Le guide de sécurité WordPress pour assurer la sécurité de votre site
- Sécurité WordPress : 16 étapes pour sécuriser et protéger votre site
Soyez conscient des vulnérabilités
Même si les nombreuses vulnérabilités de niveau moyen ne sont peut-être pas préoccupantes, il est néanmoins judicieux d'en rester informé. Les scanners de sécurité comme la version gratuite de WPScan peuvent émettre un avertissement lorsqu'un plugin ou un thème devient vulnérable. C'est un bon moyen de mettre en place un système d'alerte pour rester au courant des vulnérabilités.
Les plugins de sécurité WordPress comme Wordfence offrent une position de sécurité proactive qui bloque activement les attaques de piratage automatisées et peuvent être optimisés par les utilisateurs avancés pour bloquer des robots et des agents utilisateurs spécifiques. La version gratuite de Wordfence offre une protection importante sous la forme d'un pare-feu et d'un scanner de logiciels malveillants. La version payante offre une protection contre toutes les vulnérabilités dès qu'elles sont découvertes et avant que la vulnérabilité ne soit corrigée. J'utilise Wordfence sur tous mes sites Web et je ne peux pas imaginer créer un site Web sans lui.
La sécurité n'est généralement pas considérée comme un problème de référencement, mais elle doit l'être, car l'échec de la sécurisation d'un site peut annuler toutes les dures paroles faites pour qu'un site soit bien classé.
Image en vedette par Shutterstock/Juan villa torres