WordPress et la sécurité

Lorsqu’on parle d’utiliser WordPress dans un cadre professionnel il arrive souvent que l’on nous rétorque «WordPress c’est tout de même le CMS le plus piraté ». Alors, vrai ou faux ? Cela veut-il dire que votre site internet est en danger ? Avez-vous fait une erreur en choisissant WordPress pour la réalisation de votre site internet ?

Tout d’abord, WordPress n’est pas le CMS le plus piraté, il est le plus attaqué ce qui ne signifie pas que toutes les attaques ont abouties 1. Il est effectivement dans le viseur de nombreuses tentatives de piratages, mais au même titre que Joomla ou Drupal et si il trône à cette triste place c’est notamment qu’il est le plus répandu sur la toile, qu’il est gratuit et que de nombreux blogs ne sont plus entretenus, plus mis à jour et avec le temps sont devenus de véritables nids à faille.

Il serait cependant malhonnête d’affirmer que WordPress est  impiratable 2. Il convient toutefois de comprendre pourquoi ces failles existent et de définir où elle se situent. La première cause de la vulnérabilité de WordPress (et également de Drupal ou de Joomla) est son code Open source. En effet, l’analyse des patchs de sécurité, du code source des CMS est un des passe temps des pirates. Le code source étant diffusé et modifiable les pirates ont tout loisir d’y rechercher les failles. Des outils de recherche de failles sont même disponibles sur certains systèmes (Wpscan pour linux…).

Quitter wordpress pour un CMS propriétaire ?

Devant ce fait, l’idée de quitter WordPress pour un CMS propriétaire (code source non diffusé) pourrait nous venir à l’esprit. En réalité, la faiblesse de l’Open Source est également sa force, si les recherchent les failles pour les exploiter, les WhiteHat les recherchent également pour les sécuriser, et un développeur aguerri pourra lui-même modifier un script PHP au coeur de WordPress pour corriger une faille de sécurité qu’il aura détecté. Chose impossible avec un CMS propriétaire, il vous faudra dans ce cas attendre la mise à jour, (parfois payante) qui peut arriver avec plusieurs mois (voire années) de retard sur la faille. Il se peut même que le correctif n’arrive jamais, si le CMS n’est plus maintenu il vous faudra exporter votre contenu ou publier avec une faille connue.

La première source d’infection les plugins

La communauté WordPress est globalement très réactive sur les questions de sécurité. Le temps entre la découverte d’une faille et sa correction est relativement court. Cependant, votre CMS peut-être mis à jour, sécurisé avec soin par votre développeur, le risque zéro n’existe pas. Notamment, avec l’installation de plugin. WordPress propose en effet la possibilité d’installer des plugin additionnels, et c’est souvent au sein de ces plugins que de nombreuses failles subsistent. Il convient donc de faire très attention lors de l’installation d’une nouvelle extension, et si possible de la développer soi-même.

En conclusion, utiliser WordPress ne signifie pas soumettre le contenu de son site internet à des hordes de hackers malintentionnés. En réalité, l’utilisation de tel ou tel CMS ne garanti ni vulnérabilité ou sécurité. La protection de ses données passent par des règles simples ; utilisation d’un mot de passe complexe, mise à jour fréquente, formation des employés sur les problématiques lié à la Cybersécurité (repérage d’une attaque phishing, comment éviter le social engineering sur les réseaux sociaux), regarder les 3 saisons de Mister Robot…

D’après une étude réalisée par la société de Web sécurité Sucuri
« Ce qui est sécurisé à 99% n’est pas sécurisé » Entête du blog du hacker