7 mythes sur la sécurité WordPress : complètement brisés et démystifiés
Publié: 2023-10-21Bien qu’il s’agisse du système de gestion de contenu le plus populaire au monde, les mythes sur la sécurité de la plateforme WordPress continuent de circuler. En raison de sa nature open source, les utilisateurs inexpérimentés pourraient le considérer comme moins sécurisé qu’un produit commercial. De plus, ils peuvent être déconcertés par les rapports faisant état de problèmes de sécurité dans WordPress dans l’actualité.
Mythe n°1 : la sécurité est le travail de votre fournisseur d'hébergement
En tant que débutant ou propriétaire de site Web pour la première fois, vous pourriez penser que la sécurité de votre site Web est le domaine des personnes que vous payez pour le maintenir en ligne. Et c’est vrai d’une certaine manière ; votre hébergeur web est en effet la première ligne de défense. C'est leur travail de s'assurer que votre serveur Web n'est pas facile d'accès et de protéger l'entité physique sur laquelle réside votre site. S'ils ne le font pas, ils sont simplement de mauvais hôtes.
La sécurité du site Web est principalement votre responsabilité
Cependant, à part cela, le degré d’implication de votre fournisseur d’hébergement dans la sécurité de votre site Web WordPress dépend vraiment de votre plan. Sur un hébergeur mutualisé, un hébergeur VPS, ou même un serveur dédié, vous louez essentiellement uniquement l'espace serveur. Ce que vous en faites dépend de vous.
Cela signifie que le fournisseur d’hébergement ne vous aide en aucune façon à assurer la sécurité de votre site Web WordPress. C'est votre travail.
Bien sûr, certains fournisseurs proposeront des fonctionnalités de sécurité supplémentaires comme un pare-feu ou un CDN. Ils surveilleront également leurs serveurs à la recherche de logiciels malveillants, de virus, etc., et prendront des mesures s'ils détectent quelque chose sur votre site. Cependant, cela signifie souvent également qu’ils désactivent votre site et vous demandent de le réparer. Ce n’est pas une solution idéale, surtout si vous êtes débutant.
L'hébergement géré peut vous aider
Si vous souhaitez que votre fournisseur d'hébergement joue un rôle plus actif dans la sécurité de votre site Web WordPress, vous devez opter pour un hébergement géré. On l'appelle ainsi car, en plus de fournir de l'espace serveur, un fournisseur d'hébergement géré prend également en charge certaines des tâches quotidiennes liées à la gestion d'un site Web. La sécurité en fait partie, tout comme l'optimisation de la vitesse, les mises à jour du site et l'assistance d'experts.
Bien sûr, ce type de service coûte plus cher, mais cela en vaut souvent la peine en fonction de votre confiance en votre propre niveau de compétence pour sécuriser votre site. Cela peut offrir une grande tranquillité d’esprit.
Cependant, dans l’ensemble, dissipons une fois pour toutes ce mythe sur la sécurité WordPress : à moins que cela ne fasse partie du service que vous avez réservé, votre fournisseur d’hébergement n’est pas responsable de la sécurité de votre site Web et de l’empêcher d’être violé et piraté. Cette responsabilité vous incombe.
Mythe n°2 : WordPress lui-même constitue un risque pour la sécurité
Maintenant, vous pensez peut-être : « D'accord, si le fournisseur d'hébergement ne fait pas cela pour moi, n'est-il pas risqué de s'appuyer sur un logiciel gratuit ? À quel point quelque chose qu'un groupe de bénévoles peut-il réaliser pendant son temps libre peut-il être bon ? De plus, je vois ces gens de Wix me dire à la télévision que WordPress n'est pas non plus sûr.
Très bien, abordons celui-ci ensuite.
La première chose que vous devez comprendre est que rien de connecté à Internet n’est totalement sûr. Des milliers de sites Web sont piratés chaque jour, du plus grand au plus petit. C'est comme dans la vie, en fin de compte, il y a juste différents niveaux d'insécurité et il faut s'assurer de rendre aussi improbable que possible que quelque chose de grave se produise.
WordPress dispose de nombreuses mesures de sécurité
Ici, WordPress ne s’en sort pas plus mal que les autres. En fait, au fil des années, la plateforme a mis en place un système robuste pour découvrir et résoudre les problèmes de sécurité dans le produit principal.
Il existe une équipe de sécurité dédiée composée d'environ 50 experts, dont des développeurs principaux, des chercheurs en sécurité et d'autres professionnels de la sécurité Web. Beaucoup d’entre eux travaillent pour WordPress.com, une entreprise qui a tout intérêt à sécuriser les logiciels sur lesquels repose l’ensemble de son activité.
De plus, l'équipe consulte les équipes de sécurité d'autres sociétés d'hébergement et même les systèmes de gestion de contenu.
Leur rôle est de surveiller activement les vulnérabilités de WordPress et de répondre rapidement à tout ce qui survient. Si quelque chose signalé est suffisamment grave, ils ont la possibilité de créer et d’expédier un correctif immédiat. Cela s’installera automatiquement sur tout site Web WordPress supérieur à la version 3.7, sauf si vous désactivez spécifiquement cette fonctionnalité.
En plus de cela, WordPress voit généralement des mises à jour fréquentes, environ deux à trois nouvelles versions majeures par an avec des mises à jour mineures, de maintenance et de sécurité entre les deux. Chacun est livré avec des correctifs pour les problèmes de sécurité potentiels et un processus de test approfondi.
Sa communauté est son principal atout
En plus de ce qui précède, vous pourriez avoir une mauvaise image de ce à quoi ressemble réellement ce « groupe de bénévoles ». Beaucoup d’entre eux sont des employés d’entreprises valant plusieurs millions de dollars qui utilisent WordPress pour leur entreprise. De plus, ils ont tous un rôle à jouer pour assurer la sécurité des logiciels sur lesquels ils fondent leur gagne-pain.
De manière générale, la nature open source de WordPress fait partie de sa force. Le code source est disponible gratuitement, ouvert à tous pour l'inspecter ainsi que pour trouver et signaler les failles de sécurité. Et beaucoup de gens le font. Je veux dire, il suffit de regarder le nombre de contributeurs pour WordPress 6.3.
Enfin, il existe de nombreux hébergeurs spécialisés et plugins de sécurité pour améliorer encore la sécurité des sites WordPress. Sans oublier les milliers d’articles de blog et de didacticiels qui aident également les utilisateurs à mettre en œuvre des mesures de sécurité.
Alors, que disons-nous de ce mythe sur la sécurité WordPress ? Ce n'est pas vrai. Les systèmes en place pour garantir la sécurité et l'imprenabilité du produit principal de WordPress sont égaux ou supérieurs à ceux des entités commerciales.
Mythe n°3 : WordPress est la plateforme la plus piratée
Ce qui pourrait contribuer à votre malaise quant à l’utilisation de WordPress, ce sont les statistiques indiquant qu’il s’agit du CMS le plus piraté du marché. Et c’est vrai, la plateforme a fait l’actualité avec des problèmes de sécurité très médiatisés dans le passé. Je veux dire, il suffit de regarder ce graphique, cela ne vous rend-il pas sceptique quant à l’utilisation de WordPress pour quelque chose de sérieux ?
Considérez la taille de WordPress
À ce stade, nous devons revenir à l’une des premières choses que nous avons dites dans l’introduction. WordPress est le système de gestion de contenu le plus populaire.
À quel point est-il populaire ?
Selon W3techs, il alimente plus de 43 % de tous les sites Web sur Internet.
En chiffres absolus, cela représente plus de 470 millions de sites. Cela fait beaucoup de sites Web. De plus, comme vous pouvez le voir sur le graphique ci-dessus, aucun autre système ne se rapproche de ces statistiques.
Alors, pourquoi WordPress est-il la plateforme la plus piratée ? Parce qu’il y a beaucoup plus de sites WordPress à pirater.
Pensez-y : si vous étiez quelqu'un qui s'introduit dans les sites Web d'autres personnes pour gagner sa vie, quel système cibleriez-vous ? Celui avec un nombre infini de victimes potentielles et plus de chances que quelqu'un laisse une porte latérale ouverte, ou celui où les cibles sont éloignées ? Vous connaissez probablement la réponse.
Le noyau de WordPress n'est pas le problème
Enfin, si vous approfondissez les statistiques, vous découvrirez rapidement que seul un très petit pourcentage de hacks WordPress réussis se produit grâce à WordPress lui-même. Et même dans ces cas, souvent parce que le site Web utilise une version obsolète.
La grande majorité des vulnérabilités proviennent des extensions WordPress, en particulier des plugins.
Donc oui, WordPress est effectivement la plateforme la plus piratée, et une grande partie de ce mythe de sécurité est vrai. Cependant, la raison derrière cela est beaucoup plus nuancée.
Mythe n°4 : alors les plugins WordPress ne sont pas sécurisés
Un observateur attentif (ce que vous êtes sûrement) aura peut-être remarqué que nous venons de jeter toute notre dispute sous le bus là-haut. Apparemment, nous avons admis que les plugins WordPress constituent un énorme problème de sécurité.
Puisqu’ils constituent un élément central de l’écosystème et de l’expérience WordPress (car tout le monde les utilise pour ajouter plus de fonctionnalités aux sites Web), cela doit signifier que vous n’avez pas d’autre choix que de créer des sites Web non sécurisés avec WordPress.
Oh non, c'est éclaté !
Le problème avec les plugins
Naturellement, ici aussi, il faut être plus nuancé.
Oui, il y a évidemment un problème avec les plugins WordPress. Ils constituent un point d’entrée courant sur les sites Web.
Cependant, pour mettre cela en perspective, il faut d’abord examiner le grand nombre de plugins qui existent. Le référentiel WordPress en compte à lui seul environ 60 000. De plus, il y en a bien d’autres disponibles dans d’autres magasins sur le Web.
Cependant, ce qui est un atout de l’écosystème WordPress peut aussi être un handicap. Les auteurs de ces plugins ont des niveaux de compétence différents et tous les plugins ne sont pas activement maintenus et mis à jour. Par conséquent, ils peuvent avoir différents niveaux de qualité et de sécurité du code.
La communauté WordPress en est consciente et fait de son mieux pour répondre à cette problématique. Il y a eu des cas où des plugins présentant des problèmes connus ont été éliminés du répertoire des plugins. De plus, nous avons des personnes qui travaillent sur un vérificateur de plugins similaire au plugin Theme check pour augmenter la qualité globale des plugins WordPress.
Ainsi, la première règle pour repousser ce risque de sécurité est de vous assurer que vous utilisez des plugins qui a) proviennent de sources réputées et b) bénéficient d’un support et d’une maintenance actifs.
Il ne s’agit pas seulement des plugins, mais aussi de la façon dont vous les utilisez
Cependant, les plugins eux-mêmes ne constituent qu’une partie de l’équation. Dans de nombreux cas, le problème réside tout autant dans la manière dont les gens les utilisent sur leurs sites. Dans le même rapport mentionné ci-dessus, il est également indiqué que 36 % des sites piratés contenaient un plugin obsolète.
Ainsi, tout comme avec le noyau de WordPress, ce n'est pas nécessairement le logiciel qui pose problème, car les problèmes de sécurité sont effectivement résolus, c'est que les utilisateurs n'appliquent pas ces correctifs.
De plus, il y a souvent un problème avec le nombre de plugins. Comme il ressort clairement de ce qui précède, les extensions comportent certains risques. Par conséquent, plus vous en avez, plus vous introduisez de portes secondaires potentielles sur votre site.
La solution : installez uniquement autant de plugins que nécessaire pour faire le travail. Si vous n'utilisez pas activement un plugin, supprimez-le. Ne le laissez pas s'attarder sur votre site Web, où il ne fait que vieillir et présenter potentiellement un risque de sécurité.
Mythe n°5 : votre site n'est pas une cible, personne ne s'en soucie
Celui-ci est un classique parmi les mythes sur la sécurité des sites Web, même en dehors de WordPress. De nombreuses personnes, en particulier celles qui gèrent des sites de loisirs ou de petits sites Web, ne pensent pas qu'ils constituent une cible suffisamment rentable pour qu'un pirate informatique s'y intéresse. Je veux dire, si vous publiez uniquement des photos de votre hamster de compagnie, qu'est-ce que quelqu'un pourrait tirer d'une violation de votre site Web ?
Le piratage n'est pas personnel
Il y a deux choses que vous devez comprendre ici. D’une part, le piratage de sites Web n’a rien à voir avec ce que l’on voit dans les films. Il n'y a pas une personne en sweat à capuche assise devant un ordinateur portable qui sélectionne votre site avec soin et passe ensuite son temps à chercher manuellement des moyens d'y accéder.
Non, la très grande majorité des attaques se produisent automatiquement. Il existe une armée de robots automatisés qui analysent constamment le Web à la recherche de vulnérabilités connues des sites Web et, s'ils en trouvent une, en profitent. La plupart du temps, vous êtes simplement victime d’une opportunité.
Reprendre votre site n'est pas vraiment l'objectif
Deuxièmement, le piratage d’un site Web ne consiste souvent pas à voler des données financières ou d’autres informations sensibles. Dans la plupart des cas, les pirates tentent simplement de s’emparer de parties de votre site afin de l’utiliser à leur propre profit :
- Recrutez-le dans le cadre d'un botnet afin de l'utiliser dans des choses comme des attaques DDoS
- Envoyez du spam depuis votre serveur de messagerie
- Diffusez des logiciels malveillants sur les ordinateurs de vos visiteurs
- Publiez des liens vers des sites Web frauduleux sur votre site
Certaines personnes le font aussi simplement pour dégrader votre site et prouver leurs compétences.
Alors garde cela en tête. Il ne s'agit pas de vous. Il s'agit simplement d'être une cible qui peut être exploitée et vous devez faire de votre mieux pour éviter cela.
Mythe n°6 : l’utilisation de mots de passe forts assurera la sécurité de votre site
L’utilisation d’informations de connexion sécurisées fait définitivement partie de la sécurité de WordPress, ce n’est pas un mythe. Il existe de nombreuses façons par lesquelles des mots de passe et des noms d'utilisateur faibles peuvent revenir vous mordre :
- Attaques par force brute – Signifie qu'un programme essaie au hasard différentes combinaisons de nom d'utilisateur et de mot de passe jusqu'à ce que quelque chose fonctionne.
- Credential stuffing – Ceci est similaire aux attaques par force brute, mais plus ciblées. Dans ce cas, un pirate informatique utilise des informations d'identification déjà compromises, par exemple révélées lors d'une autre cyberattaque. Cette attaque repose sur le fait que de nombreuses personnes réutilisent leurs identifiants et mots de passe.
Si vous ne pensez pas que cela puisse être si grave, voici une infographie qui vous montre à quelle vitesse les pirates informatiques peuvent en moyenne déchiffrer votre mot de passe en fonction de sa complexité.
Ainsi, des mots de passe forts aident à protéger votre site. Alors pourquoi ce point apparaît-il dans une liste de mythes sur la sécurité WordPress ?
Parce que des mots de passe forts ne suffiront pas à eux seuls. La sécurité des sites Web est un puzzle dont ils ne constituent qu’une pièce. Si vous négligez le reste, vous laissez toujours d’importantes possibilités aux attaquants de pirater votre site Web.
De plus, les mots de passe ne sont qu’un début. Pour vraiment verrouiller votre page de connexion, il serait préférable de limiter les tentatives de connexion, d'utiliser l'authentification multifacteur et d'envisager un pare-feu. De plus, de solides informations d'identification sont importantes non seulement pour le site lui-même, mais également pour tout ce qui s'y rapporte, comme votre hébergement et vos comptes FTP.
Mythe n°7 : installez simplement un plugin de sécurité, le travail est terminé
De nombreux débutants, qui ne connaissent pas grand-chose à la sécurité de WordPress, s'appuient sur des plugins pour assurer la sécurité de leur site. Et les plugins de sécurité WordPress comme WordFence, MalCare ou Sucuri sont une aubaine pour cela. Ils sont très utiles pour aider les utilisateurs inexpérimentés à renforcer leur site contre les attaquants en quelques clics seulement.
Cependant, encore une fois, ce n’est pas un moyen infaillible d’assurer la sécurité de votre site. La zone d’influence de ces plugins a ses limites, ils ne peuvent en réalité que verrouiller le site lui-même mais n’ont aucun pouvoir sur son environnement plus large.
Si votre site réside sur un serveur non sécurisé ou si votre compte d'hébergement est piraté par un mot de passe faible, votre plugin de sécurité sera impuissant à défendre votre site contre cela. Encore une fois, les plugins de sécurité WordPress eux-mêmes ne sont pas un mythe, c'est simplement qu'ils ne peuvent pas faire le travail par eux-mêmes.
Mythe final : la sécurité de WordPress est compliquée
L’idée selon laquelle il est difficile d’assurer la sécurité de votre site WordPress est un autre mythe qui empêche les gens de créer le leur. Bien qu’il s’agisse d’un sujet important, ce n’est pas sorcier non plus. En fin de compte, la majorité de la sécurité d’un site Web se résume à suivre quelques bonnes pratiques :
- Utilisez un fournisseur d'hébergement approprié, optez pour un hébergement géré si vous souhaitez de l'aide en matière de sécurité
- Gardez WordPress et tous les plugins et thèmes à jour
- N'ayez que le strict minimum d'extensions sur votre site, désactivez et supprimez celles que vous n'utilisez pas activement et assurez-vous que ce que vous avez sur votre site est bien entretenu.
- Assurez-vous que vos identifiants de connexion sont solides et protégez-les, améliorez la sécurité en limitant les tentatives de connexion et grâce à l'authentification multifacteur
- Sauvegardez régulièrement votre site Web afin de pouvoir revenir à une version antérieure
- Utilisez les plugins de sécurité WordPress pour obtenir de l'aide, mais considérez également les parties sur lesquelles ils n'ont pas de contrôle.
Une fois ces éléments en place, la probabilité que quelque chose arrive à votre site devrait être considérablement réduite, même si elle ne peut jamais être nulle.
De quel mythe sur la sécurité WordPress entendez-vous régulièrement parler ou auquel vous étiez abonné ? Faites le nous savoir dans les commentaires!