WordPress est sans aucun doute le gestionnaire de contenu (CMS) le plus utilisé sur la planète. Plusieurs facteurs peuvent expliquer sa popularité, mais la gratuité de sa licence et sa grande facilité d’utilisation y sont pour beaucoup.
Puisque son code source est développé et maintenu par une communauté de développeurs indépendants, sa source est ouverte et disponible à tous pour analyse. Cette très grande visibilité fait de WordPress une cible constante des pirates.
Enjeux de sécurité
WordPress est de loin la plateforme la plus piratée au monde puisqu’on y découvre régulièrement de nouvelles failles de sécurité.
La découverte d’une nouvelle faille entraîne la publication d’une mise jour permettant d’assurer l’intégrité du logiciel. C’est un enjeu primordial si vous avez choisi WordPress pour bâtir votre site web.
Vous devez installer ces nouvelles mises à jour sur votre site chaque fois qu’elles sont rendues disponibles.
Dans le but de minimiser les risques et d’optimiser les interventions, nous recommandons généralement d’appliquer les nouvelles mises à jour disponibles une fois par mois.
Personne n’est à l’abri
Si vous croyez que votre site n’est pas assez important pour être la cible des pirates, détrompez-vous. Les pirates ont différentes motivations pour s’attaquer à un site.
Certains sont débutants et veulent simplement s’exercer. D’autres, mal intentionnés, peuvent souhaiter prendre votre site en otage pour réclamer une rançon, distribuer des virus à vos visiteurs ou envoyer des pourriels à partir de votre site.
Les pirates scrutent constamment le web à la recherche de sites à cibler pour exploiter la faille de sécurité.
La complexité des « plugins »
Une autre raison qui explique la très grande popularité de WordPress réside dans le nombre impressionnant de modules permettant d’ajouter des fonctionnalités au site sans grand effort supplémentaire ni connaissance approfondie de la programmation web.
Ces modules constituent une excellente source de failles de sécurité et ceux-ci doivent également être mis à jour en même temps que la source.
Ces modules sont développés par une communauté de développeurs indépendants. Ces derniers n’ont aucune obligation de mettre à jour les applications qu’ils ont développées.
Par conséquent, certains modules ne seront plus compatibles avec la nouvelle version de la source et vice versa.
Cette réalité rend l’étape de la mise à jour très sensible et nécessite la réalisation de tests en environnement clos pour déceler les nombreuses sources de conflits qui pourraient affecter le fonctionnement du site.
Comment protéger mon site ?
Si vous décidez d’utiliser WordPress pour votre site pour les bonnes raisons, il est très important de respecter de bonnes pratiques de développement.
Il importe de préférer une configuration bedrock afin de rendre inaccessibles les fichiers qui ne sont pas destinés à la diffusion. Il faut aussi choisir un mot de passe sécurisé et s’assurer d’appliquer le niveau de permissions optimal sur les dossiers.
Cela étant dit, il demeure impératif de constamment effectuer la mise à jour de la plateforme.