Blog

WordPress et la sécurité

  • Auteur/autrice de la publication :
  • Post category:environnement de dev
  • Dernière modification de la publication :Dernière modification :23 mars 2023
Partagez ...
    

WordPress et la sécurité : présentation

WordPress et la sécurité : vaste programme n’est-ce pas ? « WordPress est rempli de failles de sécurité », « WordPress est le pire des CMS au niveau de la sécurité », « WordPress est un nid à bugs de sécurité »… Qui n’a pas entendu ce genre de phrases lapidaires ?

Mais qu’en est-il vraiment ? Peut-on avoir des chiffres à l’appui de ces affirmations ? WordPress est-il le pire des CMS ? C’est ce que nous allons essayer de voir dans cet article.

WordPress est le plus répandu sur la planète

L’un des arguments les plus souvent entendus de la part des défenseurs de WordPress est que, WordPress étant le logiciel le plus répandu pour créer des sites, c’est le plus attaqué. A priori, cela semble logique, vérifions cela.

Tout d’abord, quelle est la part de marché de WordPress ? Il n’y a effectivement pas photo, selon w3techs :

Tendances trimestrielles historiques des statistiques d'utilisation des systèmes de gestion de contenu
Tendances trimestrielles historiques des statistiques d'utilisation des systèmes de gestion de contenu.©w3techs

Comme vous pouvez le voir ci-dessus, nous avons principalement ceux qui n’utilisent aucun CMS (Sites créés en Java, PHP, etc … avec certainement un framework) à 31,8%, et ceux qui utilisent WordPress à 43,2%.

Pour résumer, voici le diagramme correspondant :

Diagramme des tendances trimestrielles historiques des statistiques d'utilisation des systèmes de gestion de contenu-Diagramme
Diagramme des tendances trimestrielles historiques des statistiques d'utilisation des systèmes de gestion de contenu ©w3techs

Comme vous pouvez le voir ci-dessus, nous avons principalement ceux qui n’utilisent aucun CMS (None : Sites créés en Java, PHP etc … directement, avec certainement un framework), et ceux qui utilisent WordPress, les autres CMS se partageant les miettes. A noter cependant la tendance décroissante de ceux qui n’utilisent aucun CMS.

1ère conclusion : OUI, WordPress est le CMS le plus répandu sur la planète, puisqu’il constitue la base à lui seul 43,2% des sites internet en 2023, et 63,4% des sites utilisant un CMS sur la planète. 

Selon le CERT-FR, les principales attaques en 2020, 2021 et 2022 ont été les suivantes :

Vulnérabilités les plus exploitées en 2020
Vulnérabilités les plus exploitées en 2020
Vulnérabilités les plus exploitées en 2021
Vulnérabilités les plus exploitées en 2021
Vulnérabilités les plus exploitées en 2022
Vulnérabilités les plus exploitées en 2022

Étrange, WordPress ne figure pas dans ce palmares. Drupal (autre CMS, c’est à dire logiciel comparable à WordPress) par contre y figure en 2020.

Par contre, si on suit le raisonnement de ceux qui s’expriment dans la présentation, je me garderais bien d’utiliser Microsoft Exchange (serveur de messagerie électronique). L’argument de dire : « c’est le plus répandu donc le plus attaqué » n’est donc pas forcément suffisant, car allez dire aux milliers d’entreprises qui utilisent Exchange de s’en passer … Disons que ce raisonnement demande une analyse un peu plus fine.

Même si dans les graphiques précédents, on ne parle que des vulnérabilités exploitées (par les hackers), il existe beaucoup de statistiques circulant parlant de vulnérabilités détectées. Or, lorsqu’on signale des vulnérabilités, il n’y a pas forcément eu d’attaque. Or certains challenges existent pour récompenser les développeurs trouvant des failles dans WordPress (Chez Patchstack par exemple). Il est donc difficile d’avoir la répartition entre les bugs trouvés à cause (ou grâce à) des attaques et ceux trouvés par des développeurs bien intentionnés.

Par contre, sur wordpress.org, il existe à ce jour plus de 10 000 thèmes (gratuits et/ou payants) et plus de 60 000 extensions gratuites. A titre de comparaison, sur drupal.org, on a plus de 3000 thèmes et plus de 40 000 modules (extensions de Drupal). Chaque thème amène ses potentielles failles, et il en est de même pour chaque extension. De plus, il semblerait que la qualification moyenne des développeurs de thèmes et modules pour Drupal, par exemple, soit meilleure que sur WordPress, on peut donc penser que les failles potentielles sur WordPress soient plus nombreuses.

Et la statistique ci-dessous est sans appel. WordPress est de très loin le CMS le plus piraté au monde.

rapport sucuri cms piratés 2021
rapport sucuri cms piratés 2021

2ème conclusion : il semble bien qu’il y ait un lien entre le fait que WordPress soit le CMS le plus répandu et le fait qu’il soit le plus attaqué.

Le graphique ci-dessus a de quoi effrayer à première vue, si on n’essaie pas d’aller plus loin dans l’analyse.  Mais encore une fois, examinons plus en détail les rapports afin de voir d’où proviennent les failles.

Comparons par exemple les chiffres avec Drupal. On a vu que WordPress avait plus de thèmes et d’extensions que Drupal, mais les ordres de grandeur sont comparables. Comment expliquer alors la différences de chiffres dans le diagramme ci-dessus ?

En fait Drupal étant utilisé surtout pour de grandes entreprises, le niveau de professionnalisation des développeurs Drupal est supérieur. Pour WordPress, n’importe quel développeur, graphiste ou bidouilleur va pouvoir faire un thème ou une extension. Alors que pour Drupal, le ticket d’entrée étant un peu plus haut, on aura surtout affaire à du personnel expérimenté, pour lequel l’aspect sécurité est présent dès le départ.

C’est pourquoi il est important de choisir soigneusement ses thèmes ou extensions sur WordPress : choisir de préférence des éditeur spécialisés de thèmes ou d’extensions, afin d’être un peu plus sécurisé sur le produit choisi.

Et, TRÈS IMPORTANT, parmi ce choix, n’opter que pour des thèmes et extensions régulièrement mis à jour.

Ceci afin de bénéficier des mises à jour de sécurité => Et appliquer les mises à jour consciensieusement.

WordPress et la sécurité : d'où proviennent les failles de sécurité ?

Mise à jour du CMS

Globalement, tous CMS confondus, le pourcentage des CMS à jour dans leur dernière version est de 48%. Et WordPress se place plutôt pas mal dans ce classement, même si 50,3% est quand même énorme.

Wordpress et la sécurité. Sucuri : CMS à jour ou pas en 2021
Sucuri : CMS à jour ou pas en 2021
Wordpress et la sécurité. Sucuri : répartition par CMS des piratages parmi les CMS obsolètes en 2021
Sucuri : répartition par CMS des piratages parmi les CMS obsolètes en 2021

Répartition des failles

L’expert en sécurité Patchstack a relevé dans une étude que le Cœur du logiciel WordPress concentrait seulement 0,6% des vulnérabilités détectées.

Wordpress et la sécurité. Répartition des bugs de sécurité WordPress 2022 par type de logiciel
Répartition des bugs de sécurité WordPress 2022 par type de logiciel

Voilà un schéma plutôt rassurant : on n’utilise jamais tous les plugins de WordPress existants, donc pour un site WordPress, le pourcentage de bugs potentiel chute considérablement.

Si vous êtes un développeur de sites Web WordPress, veuillez faire attention aux plugins et aux thèmes que vous utilisez dans vos sites. Au fil des années, nous avons constaté de nombreux problèmes de sécurité liés à des composants annulés, obsolètes et abandonnés.

Considérez ce fait : en 2022, nous avons constaté que 26 % des plugins présentant des bugs de sécurité critiques n'avaient jamais reçu de correctif . Cela signifie que tous les sites exécutant ces composants sont vulnérables aux attaques. Ce nombre est malheureusement resté stable ces dernières années.

Si vous êtes un développeur de plugins/thèmes, faites attention aux bibliothèques que vous utilisez dans vos propres projets et si elles reçoivent des mises à jour, en particulier des mises à jour de sécurité.

Un bug de sécurité d'une bibliothèque peut avoir un impact sur des centaines de plugins et d'innombrables sites Web, comme ce fut le cas en 2022 avec un bug de sécurité (maintenant corrigé) dans le populaire framework Freemius.

Patchstack

A la décharge des webmasters, il faut avouer que détecter un plugin obsolète dans WordPress n’est pas très intuitif. En effet, dans le Back Office, sur la page des extensions, on ne voit pas la date de la dernière mise à jour. Il faut, pour chaque extension cliquer sur « afficher les détails » pour voir cette information, ainsi que la dernière version de WordPress testée avec cette information.

Une autre solution est d’installer une extension dédiée, ce que je vous conseille. 

WordPress et la sécurité : conclusion

Panorama du web

Voici une petite vidéo exprimant le point de vue d’un développeur professionnel, connaissant bien WordPress.

Conclusion : "Pour une première expérience sur le web, ou pour un site vitrine, je ne connais pas personnellement d'outil qui convienne aussi bien que WordPress" et "Des solutions open-source qui sont au niveau de WordPress, personnellement je n'en connais pas"

Grafikart.fr

Tous les spécialistes en sécurité le disent : WordPress est un CMS comme les autres, vulnérable comme les autres surtout à cause des extensions et thèmes utilisés. Ce CMS étant, de loin, le plus répandu sur la planète, il constitue donc une cible de choix pour tout hacker.

Ainsi, comme le dit Patchstack : 

En 2022, nous avons vu 328 % de bogues de sécurité supplémentaires signalés dans les plugins WordPress : nous avons ajouté 4 528 bogues de sécurité confirmés à notre base de données, contre 1 382 en 2021 .

La grande majorité des bugs de sécurité ont été trouvés dans les plugins (93%). Les thèmes représentaient 6,7 % des bogues et seulement 0,6 % se trouvaient dans la plate-forme principale de WordPress elle-même.

Cela ne signifie pas que WordPress n'est pas sûr, ou que les développeurs de plugins deviennent de plus en plus négligents, mais plutôt, que les chercheurs en sécurité cherchent de plus en plus loin.

Cela signifie également que l'écosystème WordPress devient plus sécurisé car beaucoup plus de ces bogues de sécurité sont traités et corrigés.

Patchstack

Ou sucuri :

Vous vous demandez peut-être si WordPress est sûr à utiliser. Et la réponse courte est oui : le noyau de WordPress est sûr à utiliser, mais seulement si vous le maintenez à la dernière version et utilisez des protections supplémentaires sur la page de connexion de l'administrateur.

Sucuri

Par contre, utiliser un CMS implique de la rigueur et des connaissances dans la gestion de la sécurité.

Dans son étude, Sucuri a trouvé que le fait de ne pas mettre à jour son CMS et son environnement est nocif pour la sécurité. Si les extensions et plug-ins sont les principaux pourvoyeurs de vulnérabilités pour les hackers, il n’en demeure pas moins qu’un CMS périmé, que les administrateurs ont oublié de mettre à jour est également dangereux.

developpez.com

Dans cet article datant de la « préhistoire » (2016), on peut voir que les problèmes de sécurité de WordPress ne datent pas d’hier. Comme quoi, les mauvaises pratiques ont la vie dure.

Au final, que peut on conclure ?

En fait, WordPress a les inconvénients liés à ses avantages. C’est à dire que parmi les CMS existants, ça a été le premier à être suffisamment simple pour être utilisé par des non professionnels de l’informatique. Or, avec le recul, on s’aperçoit que la plupart de ses problèmes viennent de là. En effet, beaucoup des créateurs de sites WordPress n’ont pas de connaissances suffisantes en matière de sécurité (ou tout simplement peu d’intérêt pour ce domaine un peu ardu techniquement).

Le résultat est que l’on trouve sur le Web, beaucoup de sites WordPress qui ne respectent pas les normes minimales de sécurité, ce qui implique un taux de failles exploitées par les hackers important, et participe à la mauvaise réputation de ce CMS.

Pour terminer, OUI, WordPress est un CMS sûr mais :

  • Si la sécurité n’a aucun intérêt pour vous, dans le cas d’un site de démonstration, de test etc…, alors aucun problème, vous pouvez le confier à un stagiaire débutant (et faites le travailler sur l’aspect sécurité, ce sera davantage profitable pour lui).
  • Dans le cas contraire, qu’il s’agisse d’un site qui représente votre métier (site vitrine par exemple), ou d’un site d’e-commerce, ou pour tout autre raison qui implique que votre site soit pérenne sur le web, confiez sa réalisation à un professionnel conscient des enjeux et ayant les connaissances minimales pour une sécurisation efficace.

Quant à ceux qui prononcent ce genre de phrases, « WordPress est rempli de failles de sécurité », sans autre argument, on sait maintenant qu’ils ne savent pas de quoi ils parlent. Un peu comme un diffuseur de fake news connu…

Dirigez vous plutôt vers un professionnel sérieux.

Références

Sécurité en général

  • Cybersécurité en France, 10 statistiques clés à connaître en 2022 : (ndnm.fr)
  • Panorama de la cybermenace 2022 (cert.ssi.gouv.fr)
  • Panorama de la menace informatique 2021 (cert.ssi.gouv.fr)
  • Un niveau élevé de cybermenaces en 2022 (ANSSI)
  • Cybersécurité : nature des attaques et recommandations de l’ANSSI (blogdumoderateur.com)

WordPress

  • Statistiques d’utilisation et part de marché de WordPress : (w3techs.com)
  • Tendances trimestrielles historiques des statistiques d’utilisation des CMS  (w3techs.com)
  • Quel est le meilleur cms pour créer votre site web ? notre top 5  (01.net)
  • Guide complet du Bug Bounty WordPress (patchstack.com)
  • WordPress : 10 erreurs à ne pas commettre (blogdumoderateur.com)
  • 49 Statistiques WordPress à connaître en 2023 (lesmakers.fr)
  • 2021 Website Threat Research Report (sucuri)
  • State of WordPress Security In 2022 (patchstack)
  • Sécurité WordPress – 19 étapes pour protéger votre site (Kinsta)
  • 13 astuces pour sécuriser son site WordPress (codeur)
  • Is WordPress Secure? (sucuri)
  • WordPress est de loin le CMS le plus ciblé par les cyberattaques : (developpez.com)
  • WordPress « c’est nul » : (grafikart.fr)

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.