Le CMS WordPress est-il sécurisé ?

Propulsant plus de 40 % des sites dans le monde et sa dernière version ayant été téléchargée plus de 60 millions de fois, la popularité du CMS WordPress n’est plus à prouver. Assez simple d’utilisation, peu coûteux et proposant une ribambelle de modules et d’extensions, c’est un outil très apprécié pour la création de sites. Néanmoins, nous allons ici aborder un sujet d’une importance capitale : la sécurité. WordPress est-il infaillible ou bien comporte t-il des failles ?

Il n’est pas rare qu’un site WordPress ne soit piraté… Mais nous allons étudier les principales raisons pour lesquelles cela arrive, et comment y remédier

L’utilisation de versions, plugins ou thèmes obsolètes

Il arrive fréquemment que des sites WordPress soient piratés, mais les raisons pour lesquelles cela arrivent ne sont pas forcément celles auxquelles on pense en premier lieu ! Cela ne vient en général pas du logiciel WordPress en lui-même, mais d’éléments externes tels que l’utilisation de versions, plugins ou thèmes obsolètes.

Selon Sucuri, une entreprise spécialisée en sécurité Web, 90 % des sites web piratés utilisant un CMS tournaient sous WordPress, et plus de la moitié de ces sites WordPress piratés utilisaient une version obsolète de WordPress… Autant dire que le rapprochement vite fait !

L’utilisation de plugins, qui fonctionnent de la même manière que les extensions sur un navigateur, et créés par des développeurs tiers, sont d’une grande praticité pour étendre les fonctionnalités du CMS, mais néanmoins, ils peuvent s’avérer être la porte ouverte à des vulnérabilités. Parce que le développeur a arrêté de travailler dessus, ou bien qu’il a corrigé le problème mais que les utilisateurs n’ont pas effectué de mise à jour. Les sites e-commerce sont une cible particulièrement alléchante pour les pirates, leur permettant d’accéder bien plus facilement à des données très sensibles telles que des coordonnées bancaires.

Et enfin, selon une enquête menée par Wordfence, une entreprise spécialisée en sécurité web, tout comme Sucuri, le pirate avait réussi son coup grâce à un plugin obsolète dans pas loin de 60 % des cas, ce qui est un chiffre énorme et à ne pas négliger ! Les thèmes et plugins obsolètes sont donc une menace réelle et bien dangereuse pour vos sites WordPress.

Des identifiants de connexion compromis et des attaques de Supply Chain

Après les plugins obsolètes, les attaques par force brute sont la deuxième cause de piratage des sites tournant sous WordPress. Il est fortement recommander de garder les mots de passe sécurisés (et donc compliqués) générés automatiquement par le CMS.

Il existe également une technique malveillante, nommée «  attaque de Supply Chain ». Dans ces cas, les pirates introduisent une porte dérobée dans le code d’un plugin WordPress, permettant à l’attaquant de prendre le contrôle… De votre site ! Cela reste assez rare, mais il y a malheureusement des situations d’attaques massives, comme en 2021, sur un site proposants des thèmes et plugins, 93 de ces thèmes et plugins ont été infectés, rendant vulnérables plus de 30000 sites web !

L’équipe de sécurité de WordPress fait le maximum et fournit un travail conséquent afin de résoudre le plus vite possible tous les problèmes au coeur de son CMS. Si vous appliquez rapidement ces mises à jour, il y a très peu de risque de rencontrer des soucis de vulnérabilités majeures.

Pour optimiser au mieux la sécurité de votre site, n’oubliez pas également qu’il est primordial d’utiliser des versions à jour de technologies telles que PHP. L’utilisation d’une version plus ou moins ancienne, qui ne serait plus mise à jour, expose votre sites à des vulnérabilités qui ne seraient ainsi pas corrigées.