Worpress et la sécurité : à quoi vous exposez vous ?

  • Auteur/autrice de la publication :
  • Post category:Sécurité
  • Dernière modification de la publication :Dernière modification :30 juillet 2019
Partagez ...

Worpress dans le web

Avant d’aborder le sujet principal de cet article, c’est à dire Worpress et la sécurité, il est bien important de comprendre le contexte.

Tout d’abord, il faut comprendre la place occupée par WordPress parmi les sites WEB dans le monde.

Les données de ce paragraphe sont issues de ce site : https://w3techs.com/.

Plus d’un tiers de tous les sites web sur internet, utilisant un CMS ou pas, sont basés sur WordPress. Répartition des sites Web utilisant divers systèmes de gestion de contenu

 

Maintenant, si on limite l’étude aux sites utilisant WordPress, le pourcentage grimpe à plus de 60%. En d’autres termes, WordPress occupe plus de 60% des parts de marché des CMS dans le monde.

Parts de marché de WordPress parmi les CMS

Pourquoi un tel succès ?

C’est dû à plusieurs raisons. 

La première raison au sens chronologique du terme fut sa gratuité. Mais cette raison ne suffit pas à expliquer la continuité de son succès.

La deuxième raison est sa légèreté. Simple à installer, le WordPress de base est suffisamment léger pour prodiguer des temps de réponse acceptables pour restituer ses contenus.

La troisième raison est sa relative simplicité d’utilisation. Il n’est point besoin d’avoir des connaissances approfondies en informatique pour monter rapidement son propre blog (raison d’être du premier WordPress).

La dernière raison, et sans doute l’une des plus importantes, est sa modularité. D’innombrables extensions (ou « plugins ») existent dans le monde. Tant au niveau conception graphique (ex : les thèmes) que fonctionnalités (ex : SEO, gestion de cache …) l’offre est pléthorique sur le net.

Les revers de ce succès

La conséquence naturelle de ce succès est que WordPress est une cible naturelle de choix pour tous les hackers. Investir du temps pour trouver les failles d’un système est extrêmement rentable quand on sait qu’on va pouvoir en tirer bénéfice sur plus du tiers des sites mondiaux !

Il devient donc logiquement inévitable de devoir s’intéresser à la sécurité des sites sur WordPress.

Les vulnérabilités de WordPress

WordPress étant scruté en permanence par tous les acteurs de la sécurité mondiale du web, on s’est vite rendu compte du nombre très important de ses failles. Tant au niveau du noyau (WordPress lui même) que de ses extensions. WordPress n’est peut être pas plus vulnérable que les autres CMS, par contre, sa position dominante en fait une cible de choix, d’autant que ce n’est pas forcément le CMS le plus utilisé par les grandes entreprises dotées de services de sécurité compétents, mais qu’il est plutôt utilisé majoritairement par une population peu au fait des dernières évolutions en terme de sécurisation des sites internet.

Les extensions étant extrêmement nombreuses, on trouve de tout dans les auteurs. Cela va de l’amateur éclairé trouvant ses bouts de code sur internet, jusqu’au développeur professionnel. L’effet pervers est que l’on trouve des extensions sur le net comportant des trous de sécurité.

Si votre site est piraté

– Que va devenir votre chiffre d’affaire ?
– Quelle est la répercussion en terme d’image pour vous ou votre entreprise si votre site web est utilisé à des fins illégales ?
– Quel est le coût d’un vol des informations sensibles qui seraient hébergées sur votre site web et quel est le coût si ces mêmes informations sont transmises à la concurrence ?
– Quel est le coût de se voir blacklisté par Google ?
– Quel est le coût d’une bande passante saturée lors d’un déni de service effectué à partir de votre serveur web ?
– Quel est le coût de voir son site web fermé par l’hébergeur pour cause de non respect des conditions générales de vente ?
– Avez vous pensé aux frais à engager pour rétablir le fonctionnement de votre site ?
et enfin, indépendamment des risques liés directement au piratage, votre site est-il conforme au RGPD ? Sachez qu’une sanction RGPD peut s’élever à 20 000 000 d’euros ou, dans le cas d’une entreprise, à 4% du chiffre d’affaires mondial total de l’exercice précédent (le montant le plus élevé étant retenu) cf. https://donnees-rgpd.fr/sanction

La menace est réelle et trop souvent sous estimée. Lisez cet article à ce propos :
lemondeinformatique.fr
Et personne n’est à l’abri, même le Service fédéral de sécurité (FSB) de la fédération de Russie fait partie des victimes :
lemondeinformatique.fr

Les contre mesures à utiliser

– Les mises à jour

WordPress propose de nombreuses mises à jour mineures chaque année, sans oublier les mises à jour majeures. Les mises à jour mineures peuvent être traitées de manière automatique, mais il est préférable que les mises à jour majeures soient traitées par la personne responsable de la maintenance du site, afin de s’assurer du bon fonctionnement du site mis à jour.
Les extensions et thèmes doivent également être régulièrement mis à jour.

Pourquoi ces mises à jour ?

Chaque mise à jour comporte potentiellement le risque d’introduire de nouvelles failles de sécurité. Alors pourquoi les faire ?
Bien souvent elles comprennent des correctifs de sécurité. En effet, une faille de sécurité n’est exploitable que lorsqu’elle est connue, et plus elle est connue, plus elle devient critique. Aussi, plus vous mettez de temps à corriger une faille, plus vous exposez votre site à des attaques. Les failles introduites par une mise à jour seront corrigées dans la mise à jour suivante etc…

– Auditez régulièrement votre site web
– Faites des sauvegardes de votre site
– Utilisez des mots de passe forts
– Filtrer certains services et accès comme le service FTP, l’accès à votre base de données, les pages administrateurs etc

 

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.