Les 50 plugins WordPress les plus attaqués

WordFence a publié récemment un article mentionnant les 50 plugins WordPress les plus attaqués. Ce type d'article à sensation est intéressant mais à relativiser toutefois...

Top-50 plugins wordpress attaques

L'équipe de WordFence s'est basée sur les statistiques des sites de leurs clients. Ce type de statistiques est difficile à trouver comme à vérifier.

Pourtant c'est un bon indicateur, on retrouve parmi les plugins cités quelques grands classiques (revslider - Revolution Slider ou Wp-Filemanager). Le volume des attaques est également très significatif, pas moins de 20 millions d'attaques recensées...

Voyons comment ce top 50 a été réalisé :

Cette semaine , nous avons creusé profondément dans nos données et nous publions les 50 plugins WordPress les plus attaqués au cours de ces 7 derniers jours. Les données suivantes sont basées sur les paramètres suivants:

  • Au cours de la dernière semaine Wordfence a bloqué 20 644 496 attaques à travers tous les sites qu'il protège.
  • 20 622 975 de ces attaques provenaient d'adresses IPv4 et 15 160 de ces attaques étaient des adresses IPv6.
  • Sur les quelques 1,5 millions de sites actifs que WordFence protège, 581 689 de ces sites ont reçu des attaques au cours de la semaine écoulée.

Ce qui suit est la liste des plugins qui ont reçu la plupart des attaques au cours de la semaine écoulée (du 10 au 16/08/2016). Nous montrons dans ce tableau le "slug" du plugin qui correspond au nom du répertoire unique que le plugin utilise quand il s'installe sur votre WordPress.

PLUGINNbe sites attaquésTotal des attaquesIPsType
PLUGINNbe sites attaquésTotal des attaquesIPsType
recent-backups182,525351,0143,467LFI
wp-symposium149,860242,7153,460Shell
google-mp3-audio-player138,282307,7432,032LFI
db-backup129,519287,0432,189LFI
wptf-image-gallery107,000131,9382,846LFI
wp-ecommerce-shop-styling103,471131,0112,887LFI
candidate-application-form103,017127,3592,820LFI
wp-miniaudioplayer91,546196,5571,381LFI
ebook-download88,461189,6401,408LFI
ajax-store-locator-wordpress_086,051119,1921,396LFI
hb-audio-gallery-lite82,041105,6181,505LFI
simple-ads-manager70,683166,1316,476Shell
revslider53,549145,626407Shell
inboundio-marketing53,063112,696874Shell
wpshop51,609111,546830Shell
dzs-zoomsounds51,089225,032731Shell
reflex-gallery49,853111,624699Shell
wp-mobile-detector38,764115,235800Shell
formcraft25,19252,604668Shell
sexy-contact-form19,07650,649316Shell
filedownload12,58419,400353LFI
plugin-newsletter11,98223,887451LFI
simple-download-button-shortcode11,55821,502427LFI
pica-photo-gallery11,05916,587262LFI
tinymce-thumbnail-gallery10,97216,429263LFI
dukapress10,81416,235333LFI
wp-filemanager10,75616,634331LFI
history-collection10,42724,371607LFI
s3bubble-amazon-s3-html-5-video-with-adverts10,31224,011595LFI
simple-image-manipulator7,2688,272448LFI
ibs-mappro5,55518,738448LFI
image-export5,4426,047266LFI
abtest5,4315,885297LFI
wp-swimteam5,1195,433238LFI
contus-video-gallery4,92117,866345LFI
sell-downloads4,3934,746240LFI
brandfolder4,2684,619230LFI
thecartpress4,1644,534274LFI
advanced-uploader4,0664,351203LFI
aviary-image-editor-add-on-for-gravity-forms3,5485,749247Shell
wp-post-frontend1,81116,690294Shell
[Retiré]*1,7162,13365Shell
mdc-youtube-downloader1,0395,517199LFI
document_manager9154,450148LFI
paypal-currency-converter-basic-for-woocommerce7971,133129LFI
justified-image-grid78817,85235LFI
cherry-plugin5393,91931Shell
aspose-cloud-ebook-generator53172025LFI
gwolle-gb33140646LFI

* Le plugin de cette liste a été retiré avant publication. Il contient une vulnérabilité de téléchargement type shell. Cette vulnérabilité n'existe pas dans la version actuelle du plugin. Puisque cette faille est non documentée, c'est techniquement une vulnérabilité zero day, même si la faille a été corrigée dans la nouvelle version du plug-in, nous avons décidé de retirer le nom de ce plugin.

 

Ces données sont simplement une indication du type/volume des attaques sur les plugins des sites utilisant Wordfence et ne sont pas assez représentatives sur un large spectre. Cela ne donne aucune indication quand au fait qu'un plugin présent sur cette liste soit plus ou moins "secure" qu'un autre. Il n'y a pas de données sur la réussite ou l'échec de l'attaque et enfin, ces statistiques se basent uniquement sur 7 jours.

Au final si je reste dubitatif sur le panel, cela n'en reste pas moins un bon indicateur ! Les sites WordPress sont régulièrement attaqués, tous les sites WordPress le sont - les petits comme les gros. Mon conseil du jour, restez à jour !

Pour sécuriser votre site, commencez par mettre en place 15 mesures de sécurité évidentes et suivez le flux RSS des Failles de sécurité WordPress.

 

Source : https://www.wordfence.com/top-50-attacked-wordpress-plugins-week/

 

A propos de l'auteur...

WPFormation

Fabrice Ducarme, formateur WordPress je suis éditeur, auteur et fondateur du site WP Formation.com. Conférencier lors des WordCamp Paris 2013 & 2015 ainsi qu'au WP Tech Nantes 2014, je vous propose plus de 400 articles & tutoriaux à propos de WordPress, mes trucs & astuces mais aussi des coups de gueule...

2 commentaires pertinents à ce jour ;)

  • darknote dit :
    Bonjour,
    abtest c’est Nelio AB Testing ? a-b-test on le trouve plus sur wordpress.org
    Pourquoi mettre dans le tableau sexy-contact-form est non Creative Contact Form ?
    merci
  • WPFormation dit :
    c’est la liste de WordFence reproduite dans son intégralité. Toutefois, même si un plugin n’est plus dispo sur le repo, certains WordPress l’utilisent encore…

Et si vous donniez votre avis ?

Tweet35
Share28
Share17
Buffer12