WordPress : pourquoi renforcer la sécurité ?

WordPress : Pourquoi renforcer la sécurité ?

WordPress est le CMS Open Source le plus populaire et le plus répandu dans le monde. Malheureusement, sa flexibilité, sa communauté et son énorme succès sont aussi ses plus grandes vulnérabilités.

WordPress, le premier CMS au monde

Depuis des années, le système développé par Automattic (la société qui gère WordPress), est devenu hyper populaire. Pensé à la base pour le blogging, il a rapidement évolué pour permettre de créer des sites complets : sites vitrines puis même sites e-commerce via Woocommerce. Un code ouvert, une vitesse d’apprentissage rapide, une communauté grandissante qui trouve toujours une solution à un problème ou développe toujours de nouvelles fonctionnalités… Bingo. Le CMS propulse aujourd’hui plus de 30% de tous les sites web du monde : c’est colossal. Designers et développeurs du monde entiers, agences, freelances ou même amateurs, peuvent créer des sites sur WordPress, proposer des plugins, des thèmes etc. Quoi que vous cherchiez, il est à peu près certain que vous trouverez votre bonheur. Mais justement, la grande facilité apparente de mise en œuvre de l’outil constitue aussi une de ses plus grandes failles.

Un système souvent piraté

Sur le web, tout le monde n’a pas que de bonnes intentions et les pirates sont légion. WordPress est installé pour gérer des millions de sites. Or son gros problème, c’est que le cœur de son système est très fréquemment mis à jour, notamment pour corriger des failles de sécurité. Il en va de même pour les plugins et les thèmes, pour peu qu’ils soient sérieusement maintenus et suivis par leurs développeurs. Un site sous WordPress doit donc avoir la bonne version du CMS à jour, de tous les plugins (et il y en a souvent une bonne dizaine voire vingtaine d’installés), du thème… Ne pas faciliter les erreurs humaines facilement exploitables par des pirates…Et ça, sur les millions de sites où il est installé… Ça commence à faire un paquet d’opportunités pour les hackers. D’après cet article de ZDnet, en 2018 WordPress comptait pour 90% des sites victimes de piratage. Ne sous-estimez pas le risque !

Des solutions simples et peu coûteuses

C’est en effet un risque bien trop souvent minimisé. Lorsqu’une association ou une petite entreprise souhaite créer un site web, elle n’a souvent ni les compétences techniques ni le budget pour faire beaucoup de choses. Elle ne va pas chercher spécialement à sécuriser le site ni payer pour une maintenance active du CMS et des plugins. Pourtant, il existe des solutions. Y compris lorsqu’une société veut améliorer sa visibilité sur le web et créer un site internet pas cher comme sur ce guide, des plugins gratuits pour WordPress et des astuces permettent de sécuriser le CMS.

Le .htaccess

Ce petit fichier à placer directement sur le serveur peut contenir de nombreuses règles utiles. Par exemple : protéger la page de Login ; protéger des fichiers de configuration ; empêcher la lecture des répertoires… Pensez à demander un fichier bien sécurisé.

Les plugins gratuits

Il est fortement conseillé d’installer un plugin pour sécuriser WordPress, même en version gratuite. Par exemple, pensez à Wordfence, iThemes Security ou même Jetpack, développé par la maison mère de WordPress.

Règles de base

Veillez aussi à bien respecter certaines règles de base qu’on ne répètera jamais assez.
Notamment :

  • Ne divulguez pas vos identifiants
  • Choisissez un couple login / mot de passe unique, et compliqué
  • Vérifier le sérieux des plugins et thèmes que vous utilisez
  • Choisissez un hébergement sécurisé pour votre site internet
5/5 - (1 vote)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *