Sécurité

C’est pété et ça va le rester : 30% des bugs critiques des extensions WordPress ne sont jamais corrigés

WordPress est le système de gestion de contenu le plus populaire au monde - la légende dit même qu'il tournerait sur 40% du web mondial !

Utilisé par des millions de personnes et un grand nombre de sociétés et médias (ahem), le CMS n'est bien évidemment pas parfait à tous les égards (*tousse* et je dis pas ça parce qu'il repose sur PHP *tousse*), notamment sur l'aspect sécurité.



En cause : les milliers de thèmes et extensions mis à disposition pour la plateforme. Bien pratiques pour un grand nombre d'utilisateurs, aucun avertissement ni information sur les risques sécurité ne sont affichés au moment de leur installation qui se fait en un clic.

Et pourtant, certains d'entre eux finissent par devenir de vraies passoires propices aux injections ou autres opérations malveillantes, le plus souvent par manque de suivi des vulnérabilités et de mises à jour de la part des développeurs (tiens donc !).

Une récente étude a révélé que près de 30% des bugs critiques dans les extensions WordPress ne sont jamais corrigés. Celle-ci, présentée dans un livre blanc de la société Patchstack, spécialisée dans la sécurité WordPress.

En 2021, la société a par la même occasion constaté une augmentation de 150% des vulnérabilités reportées par rapport à l'année précédente.

Sur l'ensemble des failles identifiées, 91% proviennent de plugins gratuits, tandis que les extensions payantes / premium semblent offrir un service de sécurité supplémentaire (encore heureux, on va dire).

Alors que Patchstack liste 35 vulnérabilités exploitées l'année dernière dans les extensions WordPress, 2 d'entre elles ont exposé à elles seules 4 millions de sites web (les plugins "OptinMonster" et "All in One SEO").

Ça fait pas mal de sites ça, 4 millions.

Bien que la majeure partie des extensions aient reçu des updates sécurité de la part de leurs développeurs après la découverte des failles majeures (dont l'une permettait un usage de la fonctionnalité d'upload de fichiers), 9 extensions n'ont pas été mises à jour et ont été retirées du marketplace de WordPress pour non prise en compte de ces risques sévères.



L'étude révèle que la faille de sécurité la plus exploitée auprès des sites WordPress en 2021 est de loin (50%) celle du cross-site scripting (XSS), qui permet d'injecter du contenu dans une page et de provoquer des actions sur les navigateurs qui affichent cette page.

Environ 42% des sites WordPress contenaient un composant exposé en 2021 (sur une moyenne de 18 composants installés par site environ). Parmi les extensions les plus ciblées dans le cadre d'attaques : OptinMonster, PublishPress Capabilities, Booster for WooCommerce plugin et Image Hover Effects Ultimate plugin.

Suivre Les Joies du Code sur Twitter

À propos de l'auteur
Nicolas Lecointre
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.
Événements

Hackathon grandeur nature : codez au Parc des Princes, 150 000 dollars à la clé

Participez au hackathon Hacking Paris de Chiliz, du 11 au 13 juillet 2025 au Parc des Princes

Hackathon Hacking Paris 2025 — Croyez-moi, des hackathons, j’en ai vu passer. Mais DANS UN STADE et qui plus est au Parc des Princes, permettez-moi de vous le dire : c’est du jamais vu.

# En partenariat avec Chiliz

À vos agendas : du 11 au 13 juillet 2025, Chiliz, qui propose aux fans de sport et d'e-sport de se rapprocher de leurs clubs et athlètes préférés, organise un hackathon grandeur nature dans l’antre historique du PSG.

Hacking Paris est un événement 100% gratuit, pensé pour les développeurs et ceux qui s’intéressent à la blockchain, avec pour objectif de donner vie à vos projets pour faire évoluer l’écosystème.

Je participe au hackathon 🤩

150 000 dollars à la clé

Vous avez bien lu. CENT. CINQUANTE. MILLE. DOLLARS.

Dans ce hackathon, les meilleures idées ne repartiront pas juste avec les félicitations du jury et un .zip de leur projet. 👀

150 000 dollars sont mis en jeu par Chiliz pour récompenser les projets gagnants, répartis sur 5 grandes thématiques :

  • Utilisation des fan tokens : 50 000 $
  • Contenus créés par les fans et plateformes de monétisation : 24 000 $
  • Outils ou services DeFi (finance décentralisée) : 22 000 $
  • Agents ou outils basés sur l’IA pour le sport : 22 000 $
  • Fonctionnalités et connectivité du portefeuille Socios : 22 000 $
  • Récompenses spéciales : 10 000 $

Je m’inscris à Hacking Paris ⚽️

Construisez le futur de l’engagement sportif

Hacking Paris invite les développeurs à imaginer des applications décentralisées capables de réinventer la relation entre les clubs et leurs supporters. 🙌

Fan tokens, gouvernance décentralisée, NFTs, expériences immersives dans les stades… Cet événement XXL sera l’occasion de monter vos projets, et cela durant les trois jours du hackathon.

Le stade du Parc des Princes, où prendra lieu le hackathon Hacking Paris

Pas besoin d’être un expert de la Chiliz Chain pour participer : les ressources et la documentation nécessaires sont fournies — accessibles depuis le site de l’événement —, et des mentors seront présents sur place pour vous accompagner, avec une première journée de workshops pour vous permettre de prendre en main les outils et affiner votre projet.

Dès le début de soirée de cette première journée (vendredi 11 juillet) : les choses sérieuses commencent. 🔥

Vous serez alors libres de vous lancer sur le développement des solutions que vous aurez imaginées, qui devrait vous tenir en haleine jusqu’au dimanche midi, où débuteront les démos des projets.

Des invités de renom devraient également prendre part à l’événement (line-up à venir), de quoi nourrir l’effervescence qui régnera au Parc des Princes pendant ces trois jours d’innovation.

Pourquoi participer ?

En plus des prix exceptionnels, Hacking Paris permet de se connecter à une communauté Web3 internationale, d’échanger avec des experts du secteur et d’explorer des opportunités concrètes dans l’écosystème Chiliz, au-delà du hackathon.

Les projets retenus pourront quant à eux bénéficier d’un accompagnement après l’événement, et gagner en visibilité auprès d’acteurs clés du sport et de la tech.

Je m’inscris dès maintenant pour Hacking Paris — du 11 au 13 juillet au Parc des Princes (GRATUIT) 🏟️