La question de savoir si WordPress est sécurisé est compliquée. Bien qu’il s’agisse évidemment d’une plate-forme suffisamment sécurisée pour environ un quart de tous les sites Web du monde entier propulsés par WordPress, il n’est pas sans défauts.
Alors, qui est responsable de la sécurité de WordPress ? Bien sûr, une partie de cette responsabilité tombe finalement sur vos épaules. C’est pourquoi il est essentiel d’être conscient et de respecter les meilleures pratiques de sécurité WordPress afin de garder tous les sites que vous construisez aussi sécurisé que possible.

Cependant, l’équipe derrière WordPress a aussi une part de responsabilité dans tout cela. Après tout, vous ne pouvez rien faire pour protéger vous-même le noyau de WordPress.

Si la question de la sécurité de WordPress vous embête autant que quiconque qui essaie de faire des affaires en ligne, continuez à lire ce qui suit.

Je vais parler d’une partie de l’histoire sur les questions de sécurité de WordPress et ce que le projet WordPress est en train de faire à ce sujet.

Une brève histoire des problèmes de sécurité WordPress

Le problème n’est pas nécessairement que WordPress est un système de gestion de contenu faible, sujette à des tentatives de piratage et des failles de sécurité. C’est plus probablement un problème de visibilité. WordPress est le CMS le plus populaire à travers le monde, donc bien sûr, il va être une cible facile pour les pirates informatiques.

WordPress est communément critiqué en ligne (dans les blogs, forums, podcasts, etc.). Par conséquent, les faiblesses de la plateforme sont bien connues. Il serait logique alors que les pirates cibleraient principalement les sites Web WordPress, n’est-ce pas ?

La sécurité est un sujet de discussion majeur pour tout blog WordPress ou développement Web. Selon le projet WordPress (l’équipe responsable de la gestion de la sécurité de la plate-forme), ils émettent des correctifs de sécurité tout le temps. Vous connaissez ces notifications de mise à jour automatique que vous recevez lorsque vous vous connectez au tableau de bord ? « WordPress a été mis à jour à 4.7.2 » ou quelque chose comme ça ? Eh bien, généralement quand vous voyez ces versions mineures sortir, c’est parce que l’équipe a dû résoudre un problème de sécurité.

Et ceux-ci arrivent souvent:

La violation des données de Panama Papers à partir de 2016 a été, en partie, attribuée à une vulnérabilité dans un plugin Revolution Slider WordPress.

Cela dit, il est rassurant de voir comment WordPress a géré une violation de sécurité très récente et de grande envergure découlant de l’API REST.

Voici comment les choses se sont passées:

  • En janvier 2017, WordPress a publié la mise à jour 4.7.2. Nulle part dans la liste des mises à jour ou des correctifs n’a été mentionné le correctif de sécurité.
  • Environ une semaine plus tard, WordPress a informé les utilisateurs qu’il y avait effectivement un défaut de sécurité détecté et corrigé dans cette mise à jour.
  • La raison qu’ils ont donné pour le retard dans la notification des utilisateurs ? Parce qu’ils voulaient leur donner le temps de mettre à jour le noyau avant que les pirates  ne sachent que WordPress était au courant et a résolu le problème.

Bien sûr, cela n’a pas empêché les pirates de défigurer 1,5 millions de sites WordPress entre-temps. Il y a aussi les utilisateurs de WordPress qui n’ont jamais mis à jour le CMS (ou l’ont fait trop tard) qui sont restés vulnérables à l’attaque.

Ainsi, même si un patch a finalement été publié par WordPress et qu’ils ont traité l’annonce avec beaucoup de tact nécessaire, plus d’un million de sites ont été blessés dans le processus. Et, pire, de nombreux propriétaires de sites Web ont continué à ignorer cette dégradation, même après que cela soit arrivé.

Les patchs de sécurité semblent sortir plus fréquemment, avec en 2015 le plus gros taux d’abus. Comme de plus en plus ceux-ci se produisent, il est important pour vous de savoir qui est responsable de la sécurisation de WordPress et ce que vous pouvez faire de votre côté, pour s’assurer d’être protégé.

sécurité wordpress.png

Ce que vous devez savoir sur le projet WordPress (et sa sécurité)

Voici ce que vous devez savoir sur le projet WordPress et ce qu’ils font pour maintenir la sécurité du noyau .

L’équipe de sécurité WordPress

Tout d’abord, parlons du projet WordPress. Cette équipe de sécurité est composée d’environ 25 personnes, toutes expertes dans le développement ou la sécurité de WordPress. Actuellement, la moitié des personnes sur le projet WordPress travaillent pour Automattic.

Cette équipe d’experts est responsable de l’identification des risques de sécurité dans le noyau. Ils sont également responsables de l’examen des problèmes potentiels avec des thèmes ou des plugins soumis par des tiers et de formuler des recommandations sur la façon dont ils peuvent durcir leurs outils ou corriger les violations connues.

Bien qu’ils travaillent habituellement seuls pour identifier et résoudre ces problèmes, ils consultent de temps en temps d’autres experts dans le domaine, en particulier ceux des sociétés de sécurité et d’hébergement.

Comment WordPress identifie les risques de sécurité

Comme vous pouvez vous y attendre, l’équipe du projet WordPress fonctionne comme une machine bien huilée. Voici comment fonctionne le processus d’identification et de résolution des risques de sécurité:

  • Un problème est identifié par quelqu’un de l’équipe de sécurité ou de l’extérieur de l’équipe. Les membres qui ne sont pas membres du projet peuvent communiquer ces problèmes détectés en envoyant un courriel à [email protected].
  • Un rapport est enregistré et l’équipe de sécurité en accuse réception.
  • Les membres de l’équipe travaillent ensuite ensemble sur un serveur privé en privé pour vérifier que la menace est valide.
  • C’est là qu’ils suivent, testent et réparent les failles de sécurité détectées.
  • Le correctif de sécurité est ensuite ajouté à la prochaine version de WordPress mineure.
  • Pour des réparations moins sérieuses, WordPress avertit simplement les utilisateurs du tableau de bord WordPress lorsqu’une publication automatique se produit.
  • Pour les questions plus urgentes, la publication sortira immédiatement et WordPress.org l’annoncera sur la page News du site.

Bien sûr, comme nous l’avons vu avec 4.7.2., WordPress n’annonce pas toujours ces correctifs de sécurité (pour des raisons valables), bien qu’ils prennent toujours des mesures immédiates pour les résoudre.

Note sur les mises à jour automatiques

Depuis la version 3.7, WordPress a la possibilité d’envoyer automatiquement des mises à jour mineures à tous les sites Web. Cela garantit que l’équipe de sécurité WordPress peut obtenir des correctifs urgents en temps opportun et ne pas avoir à attendre que les utilisateurs acceptent et faire la mise à jour sur chacun de leurs sites Web.

Cependant, il est possible pour les utilisateurs de WordPress de désactiver ces mises à jour automatiques. Si c’est le cas pour vous, sachez que cela peut mettre votre site en danger, surtout si vous n’avez pas le temps de surveiller avec diligence tous vos sites pour la dernière et la plus grande mise à jour.

Sécurité des plugins et des thèmes

Tout comme il est de votre responsabilité de fournir aux visiteurs une meilleure expérience web, les développeurs de plugins et de thèmes WordPress sont responsables de la sécurité de leurs utilisateurs (c.-à-d. Vous ). Alors que WordPress ne peut pas gérer les dizaines de milliers de plugins et de thèmes, ils peuvent au moins les surveiller de près pour s’assurer que rien de grave ne risque de glisser dans les fissures.

Le projet WordPress est l’équipe responsable de travailler avec les développeurs lorsqu’un problème de sécurité est détecté. Avant cela, cependant, il y a une équipe de bénévoles assignés pour examiner chaque thème ou plugin soumis à WordPress. Cette équipe travaillera avec les développeurs pour s’assurer que les meilleures pratiques sont suivies.

Néanmoins, des vulnérabilités de sécurité peuvent encore survenir et c’est à ce moment que l’équipe de sécurité de WordPress doit intervenir pour:

  • Fournir de la documentation pour les développeurs WordPress sur le développement de plugins et de thèmes ainsi que sur les meilleures pratiques en matière de sécurité.
  • Surveillez les plugins et les thèmes pour détecter d’éventuelles failles de sécurité. Tout problème détecté sera alors porté à l’attention du développeur.
  • Supprimez les plugins ou les thèmes nuisibles du répertoire si les développeurs ne répondent pas ou ne coopèrent pas.

WordPress informera alors ses utilisateurs via l’administrateur WordPress lorsque ces correctifs de sécurité (ou la suppression des mauvais plugins et thèmes) sont disponibles.

La sécurité WordPress nécessite votre vigilance

Après avoir passé en revue tout cela, cela me rend un peu plus à l’aise de savoir qu’il y a une équipe dédiée qui travaille à garder le noyau WordPress sécurisé à tout moment. Cependant, cela ne signifie pas que je (ou vous) devrais être bercé par ce sentiment de complaisance.

Comme nous l’avons vu, même en janvier dernier, avec les 1,5 millions de sites Web endommagés, peu importe la qualité du projet WordPress pour surveiller et sécuriser la plate-forme, les pirates trouveront une solution.

C’est pourquoi il est important de jouer votre rôle dans tout cela et de sécuriser vos sites sous tous les angles.

Pin It on Pinterest