WordPress est sans aucun doute le gestionnaire de contenu (CMS) le plus utilisé sur la planète. Sa popularité est très certainement due à plusieurs facteurs, mais je crois que l’on peut affirmer que sa licence d’utilisation gratuite et sa grande facilité d’utilisation y sont sans aucun doute pour beaucoup.

Puisque son code source est développé et maintenu par une communauté de développeurs indépendants, sa source est ouverte et disponible à tous pour analyse. Bien évidemment, avec cette très grande visibilité vient le fait que WordPress devient la cible constante des pirates.

Enjeux de sécurité

En effet, WordPress est de loin la plateforme la plus piratée au monde puisqu’on y découvre régulièrement de nouvelles failles de sécurité. Bien sûr, à chaque fois qu’une faille est découverte, une mise à jour est publiée pour assurer l’intégrité du logiciel.

L’enjeu, c’est que si vous avez choisi WordPress pour bâtir votre site web, vous avez l’obligation d’appliquer ces nouvelles mises à jour sur votre site à chaque fois qu’il y en a une nouvelle de disponible. Dans le but de minimiser les risques et d’optimiser les interventions, nous recommandons généralement à nos clients d’appliquer les nouvelles mises à jour disponibles une fois par mois.

Personne n’est à l’abri

Si vous croyez que votre site n’est pas assez important pour être la cible des pirates, détrompez-vous. Les pirates ont différentes motivations pour s’attaquer à un site, certains sont débutants et veulent simplement se pratiquer et d’autres sont mal intentionnés et souhaitent par exemple prendre votre site en otage pour réclamer une rançon, distribués des virus à vos visiteurs ou envoyer des pourriels à partir de votre site. Dans tous les cas les sites ciblés sont sélectionnés à l’aide de scans qui ont identifié que la faille était exploitable sur le site en question.

La complexité des « plugins »

Une autre raison qui explique la très grande popularité de WordPress c’est qu’il existe un nombre impressionnant de modules pour ajouter des fonctionnalités à votre site sans trop d’effort supplémentaire.Le problème c’est que ces modules sont également une excellente source de failles de sécurité et qu’ils doivent eux aussi être mis à jour en même temps que la source.

Tous ces modules sont développés par des personnes indépendantes et par conséquent elles n’ont aucune obligation de mettre à jour les modules qu’elles ont créés. Cela fait en sorte que certains modules ne seront pas compatibles avec la nouvelle version de la source et vice versa.

Donc si on essaye de mettre tout ça à jour en même temps on doit impérativement tester d’abord dans un environnement clos puisque les sources de conflits sont nombreuses et que l’on risque fort de se retrouver avec un site qui ne fonctionne tout simplement plus après les mises à jour.

Comment puis-je me protéger?

Si vous décidez d’utiliser WordPress pour votre site pour les bonnes raisons, il est très important de respecter quelques bonnes pratiques de développement tel que préférer une configuration bedrock afin de rendre inaccessibles les fichiers qui ne sont pas destinés à la diffusion. Bien évidemment il faut choisir un mot de passe sécuritaire et s’assurer de permissions optimales sur les dossiers, mais même si on fait tout ça, on reste dans l’obligation de constamment mettre à jour l’installation.