WordPress et la sécurité : entre intox et réalité

Publié le
Mis à jour le

Auteur

Pierre Ripka

WordPress, CMS le plus utilisé au monde, traîne la réputation d’être peu sécurisé et facile à pirater : il présenterait de nombreuses failles de sécurité et serait donc fréquemment la cible d’attaques. Mais qu’en est-il vraiment ? Un site WordPress est-il forcément exposé aux tentatives d’intrusion ? Si ces questions sont source d’hésitation pour vous, cet article devrait vous aider à démêler le vrai du faux et à faire votre choix.

Un code source connu de tous

Utilisé par 32% des sites web existants, WordPress domine largement le marché des CMS à l’échelle mondiale. C’est un logiciel open source, ce qui veut dire qu’il est mis à disposition du public gratuitement et que son code source est librement accessible. Ce dernier n’est pas compilé afin de permettre à n’importe quel développeur de le consulter, le comprendre et l’utiliser. Une documentation conséquente, le Codex, est également consultable en ligne. Par ailleurs, toute personne souhaitant participer au développement de WordPress peut y apporter sa contribution, ce qui en fait un CMS en constante évolution.

De par sa très forte popularité, WordPress est donc naturellement une cible de choix pour les pirates, qui sont assurés de tomber sur ce CMS près d’une fois sur trois en attaquant des sites au hasard. Il leur suffit de cibler des failles connues et de lancer des attaques groupées pour avoir la quasi-certitude de tomber tôt ou tard sur un site WordPress présentant une vulnérabilité. De plus, la moindre faille de sécurité découverte est immédiatement connue du monde entier et souvent exploitée rapidement par les pirates.

Toutefois, contrairement à une idée reçue, la grande majorité des brèches découvertes ne se situent pas dans le code source de WordPress lui-même, mais plutôt dans les innombrables thèmes et extensions disponibles et installés chaque jour par des millions d’utilisateurs. Ceux-ci, qu’ils soient gratuits ou payants, ne sont généralement pas développés par les équipes de WordPress, mais par des sociétés et des développeurs indépendants situés aux quatre coins du monde. Certains thèmes ou extensions très populaires sont réputés fiables, mais d’autres peuvent parfois dissimuler des failles de sécurité ou des scripts malveillants. Il faut donc être particulièrement vigilant à ce que l’on installe sur son site.

Cette omniprésence de WordPress, le fait que son code source soit librement accessible et la quantité impressionnante de thèmes et extensions disponibles ont largement contribué à lui donner cette réputation de CMS peu sécurisé. Cependant, c’est un raccourci un peu facile et nous allons voir qu’il est parfaitement possible de concevoir avec WordPress un site ultra sécurisé et quasi impossible à pirater, pour peu que l’on prenne le temps de se préoccuper de cette question.

Des mises à jour régulières pour sécuriser son site

Quand on parle de sécurité sur WordPress, il est assez facile de contrer l’argument habituel de la popularité, car celle-ci a aussi un rôle très positif sur la sécurité des sites. En effet, la communauté est tellement vaste autour de WordPress que la moindre faille de sécurité est généralement identifiée et corrigée en quelques heures, que ce soit du côté du cœur de WordPress ou bien des thèmes ou extensions. Cela laisse donc une fenêtre de tir extrêmement réduite aux pirates, qui devront vite se rabattre sur les sites n’ayant pas été mis à jour et présentant toujours des failles dans leur code.

Cela nous amène à un point essentiel de la sécurité sur WordPress : bien mettre à jour son site ! Un site WordPress est par nature un site « vivant », il évolue dans le temps et doit être mis à jour constamment afin de corriger les failles de sécurité éventuelles mais aussi de bénéficier des nouvelles fonctionnalités développées sur le CMS, le thème ou les extensions. Un site non mis à jour sera forcément plus vulnérable, il faut bien garder cela en tête dès sa conception. Ce n’est toutefois pas propre à WordPress : n’importe quel CMS peut un jour présenter une faille de sécurité critique qui devra être corrigée rapidement via une mise à jour du site.

L’avantage de WordPress est qu’il est très simple et rapide à mettre à jour, contrairement à d’autres gestionnaires de contenu à l’architecture plus complexe comme Drupal ou Prestashop. Sur WordPress, les mises à jour peuvent généralement être effectuées en quelques clics, ce qui permet de les faire très régulièrement. Il convient toutefois de s’assurer que celles-ci n’altèrent pas le fonctionnement du site, ce qui peut arriver en cas de changement majeur sur une extension par exemple. Mais même dans ce cas de figure, on trouve généralement toujours une façon de mettre son site à jour pour s’assurer d’avoir constamment une version sûre du code source.

Il faut par ailleurs savoir que les versions mineures de WordPress, contenant généralement des correctifs de sécurité, sont depuis quelques années installées automatiquement sur votre site dès qu’elles sont disponibles si votre hébergement le permet. De quoi gagner encore en sérénité.

La négligence, première cause de piratage

La sécurité des sites web est souvent une notion floue et difficile à appréhender. Une analogie très simple permet toutefois de mieux prendre conscience de ses enjeux. Imaginez votre site web comme s’il s’agissait de votre domicile ou des locaux de votre entreprise. A partir du moment où un site est en ligne, il est théoriquement accessible au monde entier. A vous de le protéger efficacement et de ne pas laisser n’importe qui y entrer !

Il est fort probable que votre porte d’entrée soit rarement grande ouverte, en particulier lorsque vous vous absentez, car vous savez que quelqu’un pourrait s’introduire dans votre domicile et voler ou dégrader vos biens, voire agresser les personnes présentes. De même, vous vous assurez sans doute que personne ne puisse entrer par les fenêtres ou le sous-sol ; vous conservez certainement vos clés en lieu sûr, et vous n’ouvrez la porte qu’aux personnes dignes de confiance. Vous avez peut-être même opté pour un coffre-fort, une alarme et un système de vidéosurveillance pour encore plus de sécurité.

Si tout ceci vous semble normal, sachez que pour sécuriser votre site web, c’est exactement la même chose ! Il ne suffit pas de le mettre en ligne et d’espérer que personne ne va s’y introduire : ce serait comme construire un bâtiment sans portes. C’est à vous d’établir des règles de sécurité et de les faire respecter afin de vous assurer qu’aucun pirate ne pourra y pénétrer par effraction.

Il faut savoir que la très grande majorité des intrusions sur les sites WordPress sont le fait de la négligence de leurs propriétaires. Des règles de sécurité trop laxistes voire inexistantes conduisent malheureusement bien souvent à un piratage, et c’est généralement trop tard que l’on prend conscience de son manque de rigueur et du peu d’importance accordée à la sécurité. Cette problématique n’est pas propre à WordPress et concerne évidemment l’ensemble des sites web, peu importe la façon dont ils sont conçus.

Voici quelques règles élémentaires qui permettent de limiter grandement les risques d’intrusion :

  • Utiliser des mots de passe forts (générés aléatoirement)
  • Réduire au maximum le nombre d’utilisateurs, en particulier les administrateurs
  • Être prudent lorsqu’on communique ou qu’on note ses identifiants
  • Travailler dans un environnement sécurisé (machine protégée, réseau privé…)
  • Changer ses identifiants au moindre doute ou après un certain temps
  • Mettre à jour son site régulièrement
  • Limiter le nombre d’extensions installées et s’assurer de leur fiabilité
  • Éviter les thèmes gratuits dont l’origine est douteuse
  • Opter pour un hébergement sécurisé utilisant des technologies à jour

Et puisque le risque zéro n’existe pas, la sauvegarde régulière de votre site permet d’être en mesure de rétablir une version fonctionnelle en cas de problème, elle est donc indispensable et pourrait vous être d’un précieux secours un jour. C’est un peu l’équivalent de votre assurance habitation, qui vous couvre en cas de sinistre.

Rien qu’en respectant ces quelques règles fondamentales, vous vous protégerez efficacement contre la plupart des tentatives d’intrusion, et les pirates se rabattront probablement sur un autre site plus facile à attaquer. Quand la négligence est en cause dans un piratage, rejeter la faute sur WordPress c’est avant tout nier la véritable origine du problème : le facteur humain. Ce serait comme remettre en cause la façon dont est construite votre maison suite à un cambriolage, alors que vous avez simplement laissé la porte ouverte ou égaré vos clés.

Transformer son site WordPress en forteresse imprenable

Bien que les règles de sécurité évoquées plus haut permettent de contrer une bonne partie des attaques, elles ne suffisent pas pour autant à sécuriser complètement son site WordPress. Heureusement, il existe des solutions assez simples à mettre en place pour transformer votre site en véritable forteresse impénétrable.

Les extensions de sécurité comme iThemes Security ou Wordfence sont un must have pour votre site. Elles disposent de nombreuses options permettant de colmater les différentes failles de sécurité connues sur WordPress. Couplées à une bonne politique de mots de passe, de mise à jour et de sauvegardes, elles vous garantissent une grande sérénité face aux pirates qui tenteraient de s’introduire sur votre site.

Parmi les nombreuses options de sécurité proposées, on peut citer par exemple le blocage automatique des adresses IP essayant de se connecter sans succès à votre site ou générant trop d’erreurs 404, le verrouillage des fichiers sensibles, la modification des chemins standards de WordPress (URL de connexion, répertoire des extensions…), l’obligation d’utiliser des mots de passe forts, l’utilisation de listes noires partagées, la désactivation de protocoles sensibles, la détection des requêtes malveillantes ou même la double authentification.

Il existe également des « journaux » permettant de retracer toutes les actions suspectes sur votre site (échec de connexion au back-office, erreurs 404 générées…) ainsi que des systèmes de détection de changements de fichiers avec alerte par e-mail, afin de pouvoir identifier rapidement une éventuelle intrusion et réagir au plus vite.

Enfin, il est fortement recommandé d’utiliser le protocole HTTPS sur votre site. Cela ne vous protègera pas contre les tentatives d’intrusion, mais vous permettrez aux internautes utilisant les formulaires de votre site de communiquer leurs données de manière sécurisée, sans risque d’interception. Autrefois payant et plutôt destiné aux boutiques en ligne pour sécuriser les paiements, le certificat SSL (permettant d’utiliser le protocole HTTPS) est maintenant proposé gratuitement par la plupart des hébergeurs et se généralise peu à peu à tous les sites web, sur fond de législation sur la protection des données personnelles.

Alors, WordPress est-il fiable pour mon site ?

Oui, WordPress est fiable et vous pouvez vous lancer sans crainte, à condition de mettre en place une stratégie de sécurité efficace. Mises à jour fréquentes, hébergeur sécurisé, politique stricte sur les mots de passe, mise en place d’extensions de sécurité et sauvegardes régulières peuvent suffire à faire de votre site un véritable défi pour les pirates, qui préféreront sans doute passer leur chemin.

Si vous n’êtes toujours pas convaincu par WordPress et que vous êtes tenté d’opter pour un CMS réputé plus sécurisé, comme Drupal par exemple, réfléchissez bien. Gardez à l’esprit que tout CMS est exposé à des attaques et possède son lot de failles de sécurité : il n’existe pas réellement de CMS plus sécurisé qu’un autre. Encore une fois, cela dépend avant tout de la façon dont le site a été conçu et dont il est maintenu.

La communauté joue aussi un rôle important dans la vitesse de colmatage des brèches de sécurité, ce qui donne un avantage à WordPress par rapport à ses concurrents. De plus, sur des architectures plus complexes (type Drupal ou Prestashop), il faut avoir conscience que tout est plus long à mettre en œuvre, et donc plus coûteux si vous faites appel à des professionnels. Est-ce vraiment utile de payer beaucoup plus cher pour un résultat équivalent ?

WordPress est victime de son succès : sa réputation de CMS peu sécurisé est largement biaisée par sa très forte popularité. Oui, votre site sera attaqué constamment, c’est une réalité. Mais c’est le cas de tous les sites web, qu’ils utilisent WordPress ou non. L’essentiel est de faire le nécessaire pour qu’aucune de ces attaques n’aboutisse et que personne ne puisse s’introduire sur votre site. Il est facile de sécuriser WordPress en respectant quelques bonnes pratiques et en mettant en place des protections efficaces. La sécurité ne devrait donc jamais être un facteur déterminant dans le choix d’un CMS, car elle incombe avant tout au propriétaire du site et à ses prestataires. Et sur ce plan, WordPress n’est ni meilleur ni moins bon que les autres.