Un recensement des sites sous WordPress dans le monde, conduit par Enable Security, a conclu que 73,2% des sites WordPress étaient exploités sous une version périmée pour laquelle existaient plusieurs vulnérabilités parfaitement connues.

L’étude a été menée le lendemain de la sortie de WordPress 3.6.1, la dernière version en date qui corrigeait de nombreuses vulnérabilités critiques.

La bonne nouvelle, c’est que près de 19% des sites étaient à jour dès le lendemain. Considérant la facilité de mise à jour de WordPress ce n’est certes pas un exploit, mais c’est encourageant (d’autant que beaucoup l’ont probablement été dans les jours qui ont suivis. On pourrait même considérer que prendre la mesure le lendemain de la sortie de la nouvelle version n’est pas très honnête !)

Plus inquiétante en revanche est la présence de toutes les versions intermédiaires de la branche 3.0, parfaitement vulnérables depuis (très) longtemps. Et comble du laxisme : l’on y trouve même 1,82% de versions 2 !

Alors, certes, l’analyse s’est contentée des versions annoncées, sans chercher à les valider. Elle ne prend donc pas en compte d’éventuelles mesures de sécurité en ligne placées devant les sites (des WAF par exemple), ni la présence de pots de miel, etc… Mais peu importe : même si les chiffres sont peu fiables, la tendance, elle, est certainement juste.

Car si ces résultats ne sont pas vraiment une surprise, ils expliquent pourquoi WordPress est une cible aussi privilégiée des attaquants, qui développent continuellement des outils d’exploitation automatisés pour cette plateforme décidément bien rentable ! Et donc pourquoi, si vous hébergez un WordPress, il est d’autant plus critique de le conserver à jour…

Plus d’information :
Le décryptage des résultats par WP White Security (en anglais)