Si vous gérez un site WordPress, la connaissance des vulnérabilités et expositions communes (CVE) est devenue indispensable. En identifiant ces vulnérabilités, vous pouvez empêcher que votre site ne soit compromis par des failles connues. Par conséquent, la surveillance et la correction régulières des CVE garantissent la protection de votre site.
En bref : Ce que vous devez savoir avant de commencer
- Les CVE sont des identifiants uniques attribués aux failles de sécurité connues dans le noyau, les plugins et les thèmes de WordPress.
- En 2024, les chercheurs en sécurité ont découvert 7 966 nouvelles vulnérabilités dans WordPress, soit une moyenne de 22 par jour.
- Les plugins représentent 96 % de toutes les vulnérabilités CVE de WordPress, ce qui en fait la plus grande surface d'attaque de votre site.
- Cross-site scripting ), les injections SQL et l'élévation de privilèges sont les types de vulnérabilités les plus fréquemment exploités.
- Une fois qu'une vulnérabilité CVE est rendue publique, les tentatives d'exploitation automatisées peuvent commencer quelques heures seulement après sa divulgation.
- Maintenir tous les éléments à jour, supprimer les plugins inutilisés et exécuter un scanner de vulnérabilités sont les trois défenses les plus efficaces que tout propriétaire de site puisse appliquer aujourd'hui.
Qu’est-ce qu’une CVE et pourquoi les propriétaires de sites WordPress devraient-ils s’en préoccuper ?
Une CVE (Common Vulnerabilities and Exposures) est un identifiant unique attribué à une faille de sécurité connue dans un logiciel. Chaque entrée du système CVE comprend un identifiant standardisé, un score de gravité et une description du risque spécifique qu'elle représente.
Ce système est géré par la MITRE Corporation et utilisé dans le monde entier par les chercheurs en sécurité, les développeurs de plugins, les fournisseurs d'hébergement et les éditeurs d'outils de sécurité pour suivre les vulnérabilités et coordonner les réponses.
Considérez-le comme un numéro de référence universel pour un problème de sécurité. Lorsqu'un plugin est corrigé, qu'un hébergeur envoie une alerte de sécurité ou qu'un pare-feu applicatif web (WAF) bloque une attaque, les CVE constituent la référence commune à toutes ces actions.
Qui découvre et signale les CVE dans WordPress ?
Les chercheurs en sécurité, les hackers éthiques et les développeurs de plugins contribuent tous au processus de gestion des CVE.
Des plateformes comme Patchstacket WPScan sont des autorités de numérotation CVE (CNA) autorisées, ce qui signifie qu'elles peuvent officiellement attribuer des identifiants CVE aux nouvelles vulnérabilités de l'écosystème WordPress.
Une fois vérifiées, les vulnérabilités sont publiées dans des bases de données publiques où les chercheurs en sécurité et les développeurs peuvent en consulter les détails.
Un délai de divulgation court permet aux développeurs de publier des correctifs avant que les attaquants ne puissent exploiter largement la vulnérabilité.
Une fois la CVE rendue publique, des outils automatisés commencent à scanner Internet à la recherche de sites WordPress vulnérables en quelques heures.
Vous avez découvert une faille de sécurité dans WordPress ? Corrigez-la rapidement !
Seahawk identifie les menaces, nettoie les fichiers piratés et sécurise votre site WordPress pour prévenir de nouvelles attaques.
Comment lire un rapport CVE sans diplôme en sécurité informatique ?
Lorsque votre hébergeur, votre extension de sécurité ou votre outil de surveillance envoie un rapport CVE, les champs clés vous fournissent toutes les informations nécessaires pour agir. Voici la signification de chacun.
L'identifiant CVE et où le trouver
L'identifiant CVE est un identifiant unique au format CVE-[année]-[numéro].
Vous pouvez le coller directement dans la National Vulnerability Database (nvd.nist.gov), WPScan ou Wordfence Intelligence pour trouver des informations détaillées sur la vulnérabilité, notamment des descriptions techniques, des notes de preuve de concept et des divulgations de chercheurs.
Score CVSS et classification du risque
Le score CVSS varie de 1,0 à 10,0 et reflète la gravité et l'exploitabilité de la vulnérabilité. Voici un bref aperçu :
- 0,1 à 3,9 (Faible) : Surveillez et corrigez lors de votre prochaine fenêtre de maintenance de routine.
- 4.0 à 6.9 (Moyen) : Prévoyez d’appliquer un correctif dans les prochains jours. N’attendez pas.
- 7.0 à 8.9 (Élevé) : Correctif disponible sous 24 à 48 heures. Des tentatives d’exploitation sont peut-être déjà en cours.
- 9.0 à 10.0 (Critique) : À considérer comme une urgence. En cas de vulnérabilité critique, des outils d’exploitation automatisés sont souvent déployés quelques heures seulement après leur divulgation publique.
Version affectée vs Version corrigée
Il s'agit de l'information la plus importante et exploitable dans tout rapport CVE. Si votre version installée fait partie des versions concernées, mettez-la immédiatement à jour vers la version corrigée ou une version ultérieure.
Si le rapport ne mentionne aucune version corrigée, cela signifie que la vulnérabilité n'est pas encore résolue. Dans ce cas, désactivez et supprimez complètement l'extension jusqu'à la publication d'un correctif. Ne la laissez pas active pendant ce temps.
Comment les attaquants exploitent-ils concrètement les CVE de WordPress ?
Comprendre le fonctionnement de l'exploitation des vulnérabilités permet de transformer la prise de conscience en action urgente. L'exploitation des CVE WordPress est presque toujours automatisée, rapide et déployée à grande échelle.
La chaîne d'attaque typique ressemble à ceci :
- Une vulnérabilité CVE a été divulguée publiquement pour un plugin WordPress populaire.
- En quelques heures, des scanners automatisés commencent à analyser des millions de sites WordPress pour identifier ceux qui utilisent la version vulnérable.
- Les scripts d'exploitation déclenchent simultanément des charges utiles connues contre tous les sites vulnérables identifiés.
- Les sites compromis avec succès reçoivent une porte dérobée via un téléchargement de fichier caché, un compte d'administrateur malveillant ou une modification directe de la base de données.
- L'attaquant monétise l'accès par le biais de l'injection de spam SEO, de la collecte d'identifiants, de l'hébergement de pages d'hameçonnage ou du minage de cryptomonnaies.
Selon Patchstack, le délai entre la divulgation publique des CVE et les tentatives d'exploitation massive peut être aussi court que quelques heures pour les vulnérabilités critiques.
L'adoption des correctifs par les propriétaires de sites, en revanche, prend des jours, voire des semaines. C'est durant ce laps de temps que les attaques se produisent, et c'est pourquoi la surveillance et la réactivité sont plus importantes que n'importe quel outil de sécurité isolé.
Les types de CVE WordPress les plus courants (et leurs conséquences sur votre site)
Les CVE ne fonctionnent pas toutes de la même manière. Le type de vulnérabilité indique précisément comment un attaquant s'introduit dans le système et quels dommages il peut causer une fois à l'intérieur. Voici les types les plus fréquemment rencontrés dans de sécurité WordPress .
Vulnérabilités WordPress CVE n° 1 : Script intersite (XSS)
Les vulnérabilités XSS sont les problèmes de sécurité les plus fréquemment signalés dans WordPress, représentant une part importante de toutes les CVE de plugins année après année.
Ces incidents se produisent lorsque les données saisies par l'utilisateur ne sont pas correctement nettoyées avant d'être affichées sur une page, permettant ainsi aux attaquants d'injecter des scripts malveillants dans le contenu de votre site.
Dans une attaque XSS stockée, le script injecté est enregistré dans la base de données et s'exécute dans le navigateur de tout visiteur ou administrateur qui charge la page affectée.
Dans une attaque XSS par réflexion, la charge utile malveillante est intégrée dans une URL spécialement conçue et s'exécute immédiatement lorsqu'une personne clique sur le lien.
Que peut faire un attaquant avec une faille XSS exploitée avec succès ? Beaucoup de choses :
- Volez les cookies de session d'administrateur et prenez le contrôle des comptes d'administrateur
- Rediriger les visiteurs vers des pages d'hameçonnage ou des téléchargements de logiciels malveillants furtifs
- Injecter des liens et du contenu cachés pour le spam SEO
- Déclencher silencieusement des actions au nom d'un administrateur connecté, comme la création de nouveaux utilisateurs disposant de privilèges d'accès élevés
Les vulnérabilités XSS sont particulièrement dangereuses lorsqu'elles peuvent être déclenchées par des utilisateurs non authentifiés, ce qui signifie qu'aucune connexion n'est requise pour lancer l'attaque à grande échelle.
Vulnérabilités WordPress n° 2 : Injection SQL
Chaque site WordPress fonctionne grâce à une base de données. Les attaques par injection SQL se produisent lorsqu'un attaquant insère des commandes de base de données non autorisées via un champ de saisie vulnérable, un paramètre d'URLou un point de terminaison d'API.
Si le plugin ou le thème ne filtre pas correctement ces données avant de les transmettre à la base de données, l'attaquant rédige en réalité ses propres requêtes de base de données.
Les conséquences sont graves :
- Extraction des noms d'utilisateur, des adresses électroniques et des mots de passe hachés de la base de données
- Modification ou suppression des articles, des pages et des données du site
- Dans certaines configurations, accès distant complet au serveur web
Le plugin Events Calendar, comptant des millions d'installations actives, présentait une faille d'injection SQL permettant à des attaquants non authentifiés d'extraire des données sensibles en créant des requêtes spécifiques.
Ce type d'exploitation est couramment automatisé, ce qui signifie que des robots analysent simultanément des milliers de sites à la recherche d'une version vulnérable.
Vulnérabilités WordPress CVE n° 3 : Contournement de l’authentification et élévation de privilèges
Ces deux types de vulnérabilités sont étroitement liés mais fonctionnent différemment.
Le contournement de l'authentification permet aux attaquants de s'affranchir totalement du processus de connexion, accédant ainsi aux zones protégées de l'administration WordPress sans identifiants valides.
L'élévation de privilèges signifie qu'un attaquant qui possède déjà un compte de bas niveau (tel qu'un utilisateur abonné) peut élever ses propres autorisations au niveau d'administrateur.
Les deux méthodes aboutissent au même résultat : la prise de contrôle totale de votre site. Dès lors, les attaquants peuvent installer des extensions, supprimer du contenu, créer des comptes d'accès non autorisés persistants, modifier le code personnalisé de vos fichiers de thème et bloquer l'accès au propriétaire légitime du site.
La vulnérabilité d'élévation de privilèges est particulièrement fréquente dans les plugins qui gèrent les rôles des utilisateurs ou les niveaux d'adhésion, car ces plugins incluent souvent une logique de modification des niveaux d'accès des utilisateurs qui peut être manipulée si les entrées ne sont pas correctement validées.
Vulnérabilités WordPress CVE n° 4 : Falsification de requête intersite (CSRF)
Les attaques CSRF fonctionnent en trompant une cible attaquante authentifiée (généralement un administrateur connecté) afin qu'elle effectue, à son insu, une action nuisible sur votre site WordPress.
L'attaquant crée un lien malveillant ou intègre une requête cachée dans une page externe. Lorsque l'administrateur consulte cette page, le navigateur envoie silencieusement une requête à votre site, comme si c'était l'administrateur qui en était à l'origine.
Les résultats courants d'une tentative d'exploitation CSRF sont les suivants :
- Modification des paramètres principaux du site à l'insu de l'administrateur
- Installation de plugins malveillants ou suppression d'outils de sécurité
- Modification des rôles des utilisateurs ou réinitialisation des mots de passe des comptes d'administrateur
Les vulnérabilités CSRF sont souvent classées comme étant de gravité moyenne, mais cette classification sous-estime le risque réel. Un administrateur cliquant sur un lien dans un courriel d'hameçonnage ciblé constitue un vecteur d'attaque tout à fait réaliste, et les dommages peuvent être considérables.
Vulnérabilité WordPress CVE n° 5 : Téléchargement de fichiers arbitraires et exécution de code à distance (RCE)
Il s'agit là de certaines des vulnérabilités les plus critiques de l'écosystème WordPress. Lorsqu'une extension ne valide pas correctement les types de fichiers qu'elle accepte, des attaquants non authentifiés peuvent téléverser des fichiers arbitraires sur votre serveur web, y compris des scripts PHP déguisés en images ou en documents.
Une fois un fichier malveillant présent sur le serveur, l'attaquant peut exécuter du code directement. C'est ce qu'on appelle l'exécution de code à distance, et cela lui confère un niveau d'accès quasiment identique à celui d'un utilisateur se trouvant devant la console du serveur.
À partir de là, les attaquants peuvent :
- Déployer des portes dérobées qui survivent à la suppression de plugins et aux réinstallations du site
- Déplacez-vous latéralement entre d'autres sites sur le même compte d'hébergement partagé
- Accéder aux données sensibles stockées sur le serveur web en dehors de WordPress
- Utilisez votre serveur pour héberger des pages d'hameçonnage ou lancer des attaques contre d'autres systèmes
Le plugin WP File Manager, installé sur plus de 700 000 sites WordPress, présentait précisément ce type de faille. Des utilisateurs non authentifiés pouvaient y télécharger des fichiers PHP malveillants et obtenir un accès complet au serveur. Son score CVSS de 9,9 sur 10 le classait sans conteste dans la catégorie critique.
Où se cachent les CVE : le noyau WordPress, les plugins et les thèmes
WordPress est construit en couches, et sa surface d'attaque l'est tout autant. Identifier la couche où se situe une vulnérabilité permet de déterminer précisément la rapidité avec laquelle il faut réagir et où concentrer ses efforts de sécurité.
Vulnérabilités du noyau WordPress
Le noyau WordPress est activement maintenu par une équipe dédiée, avec un processus de correctifs rapide.
Des failles de sécurité importantes surviennent et peuvent être graves, mais elles sont rapidement corrigées et des mises à jour mineures sont déployées automatiquement sur la plupart des sites. En 2024, seules sept failles de sécurité ont été découvertes dans le noyau de WordPress.
Le risque est ici relativement faible, mais il ne faut jamais le négliger. Maintenir son installation WordPress à jour demeure une condition essentielle.
Plugins : la plus grande surface d’attaque de loin
Les extensions WordPress représentent de loin le plus grand risque de sécurité pour les propriétaires de sites. En 2024, elles étaient responsables de 96 % des nouvelles vulnérabilités découvertes sur WordPress.
Avec plus de 59 000 plugins dans le dépôt officiel et des milliers d'autres vendus dans le commerce, la diversité en matière de qualité du code et de pratiques de sécurité est énorme.
Les plugins populaires avec un grand nombre d'installations ne sont pas automatiquement plus sûrs. Ils constituent simplement des cibles plus visibles, ce qui signifie que les chercheurs en sécurité et les attaquants les examinent de plus près.
De nombreux plugins ont tous présenté des CVE documentées malgré leur utilisation répandue et leurs équipes de développement professionnelles.
Un plugin comptant 600 000 installations actives et présentant une vulnérabilité critique représente une opportunité énorme pour un attaquant, car une seule exploitation fonctionnelle peut être déployée simultanément sur un très grand nombre de sites.
Le risque spécifique est encore plus élevé avec les plugins qui gèrent les téléchargements de fichiers, les rôles des utilisateurs, les données de paiement ou les requêtes directes à la base de données, car ces fonctions nécessitent une validation des entrées et un contrôle d'accès particulièrement rigoureux pour être mises en œuvre en toute sécurité.
Thèmes
Les thèmes constituent une partie moins visible, mais bien réelle, de la surface d'attaque. Les vulnérabilités XSS dans les fichiers de modèles de thèmes, les failles de traversée de répertoires et les contrôles d'accès défaillants dans les panneaux de paramètres de thèmes apparaissent régulièrement dans les bases de données CVE.
Le code personnalisé dans les thèmes premium ou sur mesure est particulièrement sujet aux problèmes de sécurité, car il est rarement soumis au même processus d'audit de sécurité formel que les principaux plugins.
Si vous utilisez un thème qui n'a pas été mis à jour depuis plus d'un an, il est conseillé de vérifier son historique CVE dans WPScan ou Wordfence avant de le considérer comme sûr.
Comment garder une longueur d'avance sur les CVE de WordPress ?
Protéger votre site WordPress contre les attaques exploitant les vulnérabilités CVE ne nécessite pas de compétences en ingénierie de la sécurité. Cela requiert des habitudes de sécurité rigoureuses et l'utilisation conjointe des outils de sécurité adéquats.
Maintenez WordPress (noyau, plugins et thèmes) à jour
Le meilleur moyen d'y parvenir est de rester à jour. La plupart des vulnérabilités exploitées avec succès ciblent des logiciels pour lesquels un correctif existe déjà, mais qui n'a tout simplement pas été appliqué.
Activez les mises à jour automatiques pour les versions mineures du noyau WordPress. Consultez de mise à jour des extensions au lieu de les laisser s'accumuler pendant des semaines.
Lorsqu'un journal des modifications mentionne un correctif de sécurité ou fait directement référence à un identifiant CVE, considérez cette mise à jour comme urgente. Les développeurs communiquent rarement sur des CVE spécifiques, sauf si le correctif est important.
Utilisez un scanner de vulnérabilités qui surveille votre pile logicielle
Les outils de sécurité tels que Patchstack, Wordfenceet SolidWP Security comparent activement vos plugins et thèmes installés aux bases de données CVE connues.
Lorsqu'une nouvelle vulnérabilité affectant votre site est découverte, ils vous alertent immédiatement au lieu d'attendre que vous la découvriez vous-même.
Patchstack propose également le patchage virtuel, qui déploie une règle de pare-feu pour bloquer les tentatives d'exploitation d'une vulnérabilité connue avant l'application du correctif officiel.
Ceci est particulièrement précieux pour combler le fossé entre la divulgation des CVE et le moment où vous pouvez mettre à jour en toute sécurité votre site de production.
Supprimez tout ce que vous n'utilisez pas activement
Chaque extension inactive et chaque thème inutilisé constituent un point d'entrée potentiel. Certains types de vulnérabilités peuvent être exploités par des extensions désactivées, selon la manière dont WordPress charge les fichiers.
La solution la plus sûre est simple: si vous ne l’utilisez pas, supprimez-le. Chaque extension supprimée représente une surface d’attaque éliminée.
Déployer un pare-feu d'applications Web (WAF)
Un WAF filtre les requêtes entrantes avant qu'elles n'atteignent votre application WordPress, bloquant les schémas qui correspondent à des charges utiles d'exploitation connues.
Un WAF correctement configuré peut bloquer les attaques XSS, les injections SQL, les téléchargements de fichiers malveillants et les tentatives d'exploitation CSRF avant qu'elles n'interagissent avec le code ou la base de données de votre site.
Les WAF de couche application compatibles avec WordPress (comme ceux de Wordfence ou Patchstack) sont plus efficaces que les pare-feu génériques CDN, car ils comprennent la configuration spécifique de vos plugins et thèmes et peuvent appliquer des règles ciblées sur votre exposition exacte aux vulnérabilités.
Conclusion
Les vulnérabilités et les failles de sécurité courantes dans WordPress constituent une réalité constante, bien documentée et en constante évolution pour chaque propriétaire de site.
Avec près de 8 000 nouvelles vulnérabilités découvertes en une seule année et des tentatives d’exploitation qui débutent quelques heures seulement après leur divulgation publique, c’est dans le fossé entre la connaissance et l’action que se produisent la plupart des compromissions.
Maintenez à jour le noyau WordPress, les extensions et les thèmes. Supprimez les outils inutilisés, surveillez les vulnérabilités et utilisez un pare-feu applicatif web (WAF) pour vous protéger. Ces gestes simples peuvent empêcher votre site d'être la cible de la prochaine vague d'exploitation à grande échelle.
FAQ sur les CVE dans WordPress
Que dois-je faire si aucune correction n'est encore disponible pour une CVE ?
Désactivez et supprimez immédiatement l'extension ou le thème concerné. Ne le laissez pas actif en attendant un correctif. Si vous avez besoin d'une protection temporaire, un pare-feu applicatif web (WAF) avec correctif virtuel, tel que Patchstack, peut bloquer les tentatives d'exploitation connues de cette vulnérabilité (CVE) jusqu'à la publication du correctif officiel.
Comment savoir si mon site WordPress est affecté par une CVE ?
Utilisez un scanner de vulnérabilités comme Wordfence, Patchstack ou Solid Security. Ces outils comparent vos plugins, thèmes et la version du noyau WordPress installés avec des bases de données CVE en temps réel et signalent toute vulnérabilité connue présente dans votre configuration actuelle.
Quelle est la différence entre une vulnérabilité et une CVE ?
Une vulnérabilité est une faille de sécurité dans un logiciel. Un CVE (Certificate Activation Device) est attribué à cette vulnérabilité après vérification formelle et à l'attribution d'un identifiant unique par un organisme autorisé comme MITRE ou Patchstack. Tout CVE correspond à une vulnérabilité, mais toutes les vulnérabilités ne possèdent pas encore de CVE.
