Patchstack a publié une étude de cas qui a examiné dans quelle mesure CloudFlare et d’autres sites Web généraux de pare-feu et de logiciels malveillants ont protégé WordPress des menaces de vulnérabilité communes et des vecteurs d’attaque. La recherche a montré que si les solutions générales ont arrêté des menaces comme l’injection de SQL ou les scripts croisés, une solution de sécurité WordPress dédiée a régulièrement arrêté les exploits spécifiques à WordPress à un taux significativement plus élevé.
Vulnérabilités WordPress
En raison de la popularité de la plate-forme WordPress, les plugins et les thèmes WordPress sont un objectif commun pour les pirates, et les vulnérabilités peuvent rapidement être exploitées dans la nature. Une fois que le code de la preuve de concept est public, les attaquants agissent souvent en quelques heures, laissant les propriétaires de sites Web à réagir.
C’est pourquoi il est essentiel d’être conscient de la sécurité fournie par un hôte Web et de l’efficacité de ces solutions dans un environnement WordPress.
Méthodologie
Patchstack a expliqué leur méthodologie:
«En guise de référence, nous avons décidé d’accueillir des sites de« pot de miel »(sites contre lesquels nous effectuerons des pentistes contrôlées avec un ensemble de 11 vulnérabilités spécifiques à WordPress) avec 5 fournisseurs d’hébergement distincts, dont certaines ont des fonctionnalités enracinées pour aider à bloquer les vulnérabilités de WordPress et / ou à la sécurité globale.
En plus des mesures de sécurité du fournisseur d’hébergement et des fournisseurs tiers pour des mesures supplémentaires telles que des WAF robustes ou d’autres fournisseurs de correctifs, nous avons également installé Patchstack sur chaque site, notre question de test étant:
- Combien de ces menaces contourneront les pare-feu et autres fournisseurs de correctifs pour finalement atteindre Patchstack?
- Et Patchstack pourra-t-il les bloquer tous avec succès?
Processus de test
Chaque site Web a été configuré de la même manière, avec des plugins, des versions et des paramètres identiques. Patchstack a utilisé une «boîte à outils d’exploitation de test d’exploitation» pour exécuter les mêmes tests d’exploitation dans le même ordre sur chaque site. Les résultats ont été vérifiés automatiquement et à la main pour voir si les attaques ont été arrêtées et si le bloc provenait des défenses de l’hôte ou de Patchstack.
Présentation générale: hébergement des fournisseurs contre les vulnérabilités
L’étude de cas Patchstack a testé cinq configurations différentes de défenses de sécurité, plus Patchstack.
1. Hébergement du fournisseur un plus Cloudflare WAF
2. Proviseur d’hébergement B + pare-feu + serveur Monarx et sécurité du site Web
3. Hébergement fournisseur C + pare-feu + Sécurité du serveur Web iMunif
4. Proviseur d’hébergement D + CONFIGNERVER Firewall
5. Proviseur d’hébergement E + pare-feu
Le résultat des tests a montré que les diverses défenses de l’infrastructure d’hébergement n’ont pas protégé la majorité des menaces spécifiques à WordPress, n’attrapant que 12,2% des exploits. Patchstack a capturé 100% de tous les exploits.
Patchstack partagé:
«2 des 5 hôtes et leurs solutions n’ont pas obtenu de vulnérabilités au niveau du réseau et du serveur.
1 hôte a bloqué 1 vulnérabilité sur 11.
1 hôte a bloqué 2 vulnérabilités sur 11.
1 hôte a bloqué 4 vulnérabilités sur 11. »
Cloudflare et d’autres solutions ont échoué
Des solutions comme CloudFlare WAF ou des services groupés tels que Monarx ou Inunify n’ont pas réussi à aborder de manière cohérente les vulnérabilités spécifiques de WordPress.
Le WAF de CloudFlare a arrêté 4 exploits sur 11, Monarx n’a pas bloqué et Imunify n’a empêché aucun exploits spécifiques à WordPress. Des pare-feu tels que Configserver, qui sont largement utilisés dans les environnements d’hébergement partagés, ont également échoué à chaque test.
Ces résultats montrent que si ces types de produits fonctionnent assez bien contre les types d’attaques larges, ils ne sont pas réglés sur les problèmes de sécurité spécifiques communs aux plugins et thèmes WordPress.
Patchstack est créé pour arrêter spécifiquement le plugin WordPress et les vulnérabilités de thème en temps réel. Au lieu de s’appuyer sur des signatures statiques ou des règles génériques, elle applique une atténuation ciblée par des correctifs virtuels dès que les vulnérabilités sont divulguées, avant que les attaquants puissent agir.
Les correctifs virtuels sont l’atténuation d’une vulnérabilité WordPress spécifique. Cela offre une protection aux utilisateurs tandis qu’un plugin ou un développeur de thème peut créer un patch pour la faille. Cette approche aborde les défauts de WordPress d’une manière d’hébergement et des outils génériques ne le peuvent pas, car ils correspondent rarement aux modèles d’attaque génériques, ils glissent donc les défenses traditionnelles et exposent les éditeurs à l’escalade des privilèges, les contournements d’authentification et les prises de contrôle du site.
Plats à emporter
- Les défenses d’hébergement standard échouent contre la plupart des vulnérabilités du plugin WordPress (taux de contournement de 87,8%).
- De nombreux fournisseurs affirmant que «le correctif virtuel» (comme Monarx et Imunify) n’a pas arrêté les exploits spécifiques à WordPress.
- Les pare-feu génériques et les WAF ont attrapé de grandes attaques (SQLI, XSS) mais pas des défauts spécifiques à WordPress attachés à des plugins et à des thèmes.
- Patchstack a systématiquement bloqué les vulnérabilités en temps réel, comblant l’écart laissé par les défenses du réseau et du serveur.
- L’écosystème lourd du plugin de WordPress en fait une cible particulièrement attrayante pour les attaquants, ce qui rend la protection efficace de la vulnérabilité essentielle.
L’étude de cas de Patchstack montre que les défenses d’hébergement traditionnelles et les solutions génériques de «correction virtuelle» laissent les sites WordPress vulnérables, avec près de 88% des attaques contournant les pare-feu et les protections de la couche serveur.
Alors que les fournisseurs comme CloudFlare ont bloqué des exploits larges, des menaces spécifiques au plugin telles que l’escalade des privilèges et les contournements d’authentification ont glissé.
Patchstack était la seule solution pour bloquer régulièrement ces attaques en temps réel, donnant aux propriétaires de sites un moyen fiable de protéger les sites WordPress contre les types de vulnérabilités qui sont le plus souvent ciblées par les attaquants.
Selon Patchstack:
« Ne comptez pas sur des défenses génériques pour WordPress. Patchstack est construit pour détecter et bloquer ces menaces en temps réel, en appliquant des règles d’atténuation avant que les attaquants puissent les exploiter. »
Lisez les résultats de l’étude de cas par Patchstack ici.
Image en vedette par Shutterstock / Tavizta
Commentaires