Le CMS WordPress est désormais utilisé sur 39,5 % des sites web, seuls 38,4 % des sites Web n'utilisent pas un CMS

Selon les statistiques de W3Techs

WordPress est un système de gestion de contenu (SGC ou content management system (CMS) en anglais) gratuit, libre et open source. Ce logiciel écrit en PHP repose sur une base de données MySQL et est distribué par la fondation WordPress.org. Les fonctionnalités de WordPress lui permettent de créer et gérer différents types de sites Web : site vitrine, site de vente en ligne, site applicatif, blog, portfolio, site institutionnel, site d'enseignement, etc.

Le baromètre W3Techs indique que l'utilisation du CMS WordPress continue de croître : le CMS est désormais utilisé sur 39,5 % des sites web dans le monde à la date du 29 décembre 2020.

W3Techs explore les dix premiers millions de sites Web déterminés par le service de classification Alexa d'Amazon et cherche à déterminer les technologies qu'ils exploitent. Des rapports détaillés sont vendus sur ses découvertes. Mais W3Techs propose également des données publiques sur ses résultats. Ceux-ci sont généralement proposés sous la forme d'un diagramme qui vient montrer les pourcentages de sites Web utilisant divers systèmes de gestion de contenu.

Cette fois-ci, W3Techs a proposé des statistiques annuelles allant de 2011 à 2020.

Dès le départ, il est indiqué que le 29 décembre 2020, 38,4 % de sites n'utilisent pas de CMS. L'information est intéressante, car le 1^er janvier de la même année, le pourcentage de sites n'utilisant pas de CMS était supérieur au pourcentage de sites utilisant WordPress (43,1 % et 35,4 % respectivement).


Shopify, qui était encore à la troisième place au début de l'année, est désormais en seconde position avec 3,2 % de parts d'utilisation. Joomla est descendu à la troisième place avec 2,2 % de parts d'utilisation. Drupal, quant à lui, a conservé sa quatrième position avec 1,5 % de part d'utilisation.

La rançon de la gloire

WordPress a été la cible d'attaques en 2020.

Des chercheurs découvrent des failles critiques dans trois plugins WordPress utilisés sur plus de 400 000 sites Web

De graves vulnérabilités ont été découvertes par des chercheurs dans trois plugins WordPress à savoir InfiniteWP Client, WP Time Capsule et WP Database Reset. Pour les deux premiers, il s'agit d'un bogue permettant facilement à n'importe quel utilisateur d'accéder à un compte administrateur. Pour WP Database Reset, la faille autorise à tous les utilisateurs authentifier de réinitialiser toutes les tables de la base de données ou de bénéficier des privilèges administratifs.

Marc-Alexandre Montpas, chercheur chez Web Sucuri, explique dans un billet que « des vulnérabilités logiques comme celles observées dans cette récente divulgation peuvent entraîner de graves problèmes pour les applications et composants Web. Ces failles peuvent être exploitées pour contourner les contrôles d'authentification - et dans ce cas, se connecter à un compte administrateur sans mot de passe ».

Le 7 janvier, l'entreprise WebARX, spécialisée en cybersécurité a alerté Revmakx, le développeur de InfiniteWP Client et WP Time Capsule, sur la présence de failles critiques permettant à n'importe qui d'accéder à un compte administrateur sans aucune information d'identification. Ainsi, des malfaiteurs auraient pu supprimer du contenu, ajouter de nouveaux comptes et exécuter d'autres tâches malveillantes. D'ailleurs, le problème est très important au vu du nombre de sites utilisant les deux plugins : 300 000 pour InfiniteWP Client et 30 000 pour WP Time Capsule.

« Du fait de la nature de la vulnérabilité, le contournement de l'authentification est rendu possible grâce à une erreur logique dans le code [de WP Database Reset], qui ne produit pas de réaction suspecte des pare-feux. Il peut donc être difficile de trouver et de déterminer d'où viennent ces problèmes », reconnaît Revmakx.

Une campagne d'attaques massives cible 900 000 sites WordPress en une semaine

En mai, de nouvelles vulnérabilités dans Wordpress ont permis aux pirates informatiques de lancer une campagne d'attaques massives contre plus de 900 000 sites WordPress. Les auteurs des attaques cherchaient à rediriger les visiteurs vers des sites malveillants ou à installer une porte dérobée si un administrateur était connecté, d'après un rapport publié par la société de sécurité WordPress Defiant. Selon Defiant, son équipe de renseignements sur les menaces avait détecté, au cours du mois d'avril, plus de 24 000 adresses IP distinctes envoyant des requêtes correspondant à ces attaques.

D'après la charge utile, la majorité de ces attaques semblent être causées par un seul attaquant. C'est à partir du 28 avril 2020 que l'équipe de Defiant a observé une augmentation soudaine des attaques ciblant les vulnérabilités Cross-Site Scripting (XSS). Ces attaques ont continué à prendre de l'ampleur au cours des jours suivants pour atteindre plus de 20 millions d'attaques contre plus d'un demi-million de sites Web.

Dans son rapport, Ram Gall, responsable de l'assurance qualité chez Defiant, a déclaré que les attaquants se sont surtout concentrés sur l'exploitation des vulnérabilités XSS dans des plugins qui ont reçu une correction il y a des mois ou des années et qui avaient été visés par d'autres attaques. Cependant, après une enquête plus approfondie, Defiant a découvert que cet acteur de la menace s'attaquait également à d'autres vulnérabilités, principalement des...