Plugins WordPress : Top 50 des attaqués
La guerre numérique et les attaques font désormais partie de notre quotidien en tant que développeur ou propriétaire d'un site. De plus, WordPress est l'un des cibles préférés des hackers. Mais si on affine la liste, on va énumérer les 50 plugins les plus ciblés par les pirates informatiques.
Cette liste ne signifie pas forcément que ces plugins sont vulnérables. Cependant, comme il y a des millions de hackers qui s'y intéresse, il se peut qu'ils soient facile à attaquer. Donc, à utiliser avec toutes les précautions et protections requises, surtout quand on sait que la barre les 20 millions d'attaques à été largement dépassé.
il faut aussi savoir que les hackers commencent à préférer aujourd'hui les IPv6 : 15 160 sur 20 622 975 attaques proviennent de cette nouvelle génération de protocole.
| PLUGIN | Nbe sites attaqués | Total des attaques | IPs |
|---|---|---|---|
| recent-backups | 182,525 | 351,014 | 3,467 |
| wp-symposium | 149,860 | 242,715 | 3,460 |
| google-mp3-audio-player | 138,282 | 307,743 | 2,032 |
| db-backup | 129,519 | 287,043 | 2,189 |
| wptf-image-gallery | 107,000 | 131,938 | 2,846 |
| wp-ecommerce-shop-styling | 103,471 | 131,011 | 2,887 |
| candidate-application-form | 103,017 | 127,359 | 2,820 |
| wp-miniaudioplayer | 91,546 | 196,557 | 1,381 |
| ebook-download | 88,461 | 189,640 | 1,408 |
| ajax-store-locator-wordpress_0 | 86,051 | 119,192 | 1,396 |
| hb-audio-gallery-lite | 82,041 | 105,618 | 1,505 |
| simple-ads-manager | 70,683 | 166,131 | 6,476 |
| revslider | 53,549 | 145,626 | 407 |
| inboundio-marketing | 53,063 | 112,696 | 874 |
| wpshop | 51,609 | 111,546 | 830 |
| dzs-zoomsounds | 51,089 | 225,032 | 731 |
| reflex-gallery | 49,853 | 111,624 | 699 |
| wp-mobile-detector | 38,764 | 115,235 | 800 |
| formcraft | 25,192 | 52,604 | 668 |
| sexy-contact-form | 19,076 | 50,649 | 316 |
| filedownload | 12,584 | 19,400 | 353 |
| plugin-newsletter | 11,982 | 23,887 | 451 |
| simple-download-button-shortcode | 11,558 | 21,502 | 427 |
| pica-photo-gallery | 11,059 | 16,587 | 262 |
| tinymce-thumbnail-gallery | 10,972 | 16,429 | 263 |
| dukapress | 10,814 | 16,235 | 333 |
| wp-filemanager | 10,756 | 16,634 | 331 |
| history-collection | 10,427 | 24,371 | 607 |
| s3bubble-amazon-s3-html-5-video-with-adverts | 10,312 | 24,011 | 595 |
| simple-image-manipulator | 7,268 | 8,272 | 448 |
| ibs-mappro | 5,555 | 18,738 | 448 |
| image-export | 5,442 | 6,047 | 266 |
| abtest | 5,431 | 5,885 | 297 |
| wp-swimteam | 5,119 | 5,433 | 238 |
| contus-video-gallery | 4,921 | 17,866 | 345 |
| sell-downloads | 4,393 | 4,746 | 240 |
| brandfolder | 4,268 | 4,619 | 230 |
| thecartpress | 4,164 | 4,534 | 274 |
| advanced-uploader | 4,066 | 4,351 | 203 |
| aviary-image-editor-add-on-for-gravity-forms | 3,548 | 5,749 | 247 |
| wp-post-frontend | 1,811 | 16,690 | 294 |
| [Retiré]* | 1,716 | 2,133 | 65 |
| mdc-youtube-downloader | 1,039 | 5,517 | 199 |
| document_manager | 915 | 4,450 | 148 |
| paypal-currency-converter-basic-for-woocommerce | 797 | 1,133 | 129 |
| justified-image-grid | 788 | 17,852 | 35 |
| cherry-plugin | 539 | 3,919 | 31 |
| aspose-cloud-ebook-generator | 531 | 720 | 25 |
| gwolle-gb | 331 | 406 | 46 |
* nom du plugin retiré pour des raisons de sécurité, à cause d'une vulnérabilité connue et corrigé mais pas de documentation officielle de la faille
Je ne voudrais surtout pas vous faire peur, mais ces chiffres affirment donc qu'il y a bel et bien des plugins ciblés par les hackers. Comme ils sont open-source, les hackers peuvent décortiquer à volonté leurs codes, et peut aussi comprendre le fonctionnement, et les dysfonctionnements qui créent des failles de sécurité.
C'est pourquoi il est toujours recommandé :
- d'utiliser des plugins de sécurité pour optimiser la sécurité de votre site
- d'uniquement installer les plugins vraiment nécessaires et de source sûre : des sources non-sûres peuvent vous envoyer un plugin modifié pour intégrer des backdoors (faille de sécurité volontairement installé par un hacker)
- de re-concevoir des plugins auprès d'un professionnel au lieu de prendre un vieux plugin abandonné qui risque de disposer de sérieuses problèmes de sécurité
- de toujours se mettre à jour à la dernière version. Priorisez au maximum les plugins figurant dans la liste ci-dessus.
Ayant reçu quelques attaques sur un site WordPress récemment, j'ai pu comprendre ceci : des sites mises à jours régulièrement peuvent résister à plusieurs jours d'attaques qu'un site mal maintenu. En effet, dans le fichier log des attaques, une explication de leurs démarche fait surface : les hackers tentent d'abord avec les méthodes déjà connues comme les récentes failles découvertes et annoncés par les auteurs de plugins. C'est juste après des millions d'échecs dessus (effectués par des bots) qu'ils changent la stratégie et expérimente de nouvelles types d'attaques basiques, qui ne concernent pas directement WordPress et qui varient d'efficacité d'un site à un autre.
Source du tableau : Wordfence