Sécuriser WordPress est devenu un enjeu stratégique : on ne parle plus aujourd’hui de “simples blogs”, mais d’une quantité croissante de sites web pour lesquels la sécurité n’est pas à prendre à la légère : E-commerce, politique, associatif, sites corporate… WordPress est partout…
Vous en doutez ? Cliquez ici pour un exemple assez parlant (bien que visuellement et politiquement discutable).
WordPress est aujourd’hui le CMS (Content Management System ou système de gestion de contenus en français) le plus utilisé dans le Monde (59,3% en 2017 – Source : Skilled). L’air de rien, on parle de 30 % des sites web présents sur internet (Source : xpDigital).
Victime de ce succès, il est également le plus attaqué : un seul hack WordPress peut impacter des milliers, voire des millions de sites web. Mathématiquement, s’attaquer à la sécurité WordPress est beaucoup plus rentable que s’attaquer à celle d’un site codé à la main.
L’objet de cet article est donc de définir une hygiène de vie pour sécuriser un site WordPress.
Il s’agit de règles essentielles et simples (comprendre “non techniques”), à suivre rigoureusement pour réduire le risque de basculer du côté “hard” de la sécurité WordPress (comprendre “très technique”) : celui de la réparation.
La réflexion se veut aussi stratégique : est-ce rentable de le faire soi-même ou vaut-il mieux externaliser ?
SÉCURISER WORDPRESS, ÇA VEUT DIRE QUOI ?
Sécuriser WordPress, ça n’est pas restaurer des sites piratés, c’est assurer un écosystème préventif pour éviter cette situation.
On l’a vu, WordPress est un CMS. Un CMS, c’est quoi ? En quoi cela concerne-t-il la sécurité ?
RAPIDE DEFINITION : CMS VOUS AVEZ DIT CMS ?
Un système de gestion de contenus se définit comme “une famille de logiciels destinés à la conception et à la mise à jour dynamique de sites Web ou d’applications multimédia” (Source : Wikipedia).
Pour faire simple, un CMS propose une base préconçue de travail paramétrable, adaptable et directement utilisable sans grande connaissance technique (pour autant, les « vrais » développeurs y trouvent largement leur compte).
CMS ET SÉCURITÉ, QUELLE PROBLÉMATIQUE ?
Mais comme tout a un prix, celui du confort est… la sécurité.
Beaucoup de gens pensent encore qu’un hackeur “choisit” les sites qu’il attaque.
L’époque du piratage artisanal est depuis longtemps révolue : une fois qu’une faille sécuritaire est identifiée, les doigts du hackeur ne servent qu’à coder le robot qui fera le travail à sa place. Le méchant animal va crawler le web tout seul à la recherche des conditions définies par son créateur, et répliquer son action malveillante à chaque nouvelle occurrence.
Or, un CMS comme WordPress a l’immense avantage (pour lui, pas pour vous) de répliquer ladite occurrence en quantité suffisante pour rentabiliser la conception du robot.
Autrement dit, lorsqu’une faille est exploitable sur des milliers de sites web, c’est évidemment plus intéressant que sur un seul : c’est le principe de l’économie d’échelle.
Pour résumer :
- Un CMS n’est pas plus fragile, il est plus exposé ;
- Les CMS les plus utilisés sont les plus exposés ;
- WordPress étant le CMS le plus utilisé, il est de fait le plus exposé.
Sécuriser WordPress doit donc faire partie du processus de création/maintien d’un site web au même titre que l’hébergement ou le design : c’est incontournable.
SÉCURISER UN SITE WORDPRESS, UNE AFFAIRE D’HYGIÈNE
Longtemps, WordPress a été considéré comme un moteur de blogs, “rien de plus”. La question de la sécurité n’est donc pas nativement ancrée dans la culture populaire. On considère souvent (et de nombreux concepteurs s’en contentent) que le développement d’un site web sous WordPress s’arrête à la livraison du produit fini.
C’est pourtant à partir de sa mise en ligne qu’un site web commence sa “vraie vie”, celle qui génère du business, de l’image, de la visibilité, de la conversion ! Le développement n’est pas une fin en soi : c’est bien pour cette “vraie vie” que l’on investit (du temps et/ou de l’argent). Et quand on investit, la logique la plus élémentaire voudrait qu’on protège son investissement… Non ?
Non : il se trouve que rares sont ceux qui ont le “réflexe protection” de leur CMS. Pire (et c’est le sujet de cet article), les notions d’entretien, de maintenance, sont très régulièrement occultées en avant comme en après-vente.
L’idée que je cherche à développer est la suivante : “mieux vaut prévenir que guérir”. Sécuriser WordPress, c’est avant tout lui assurer un écosystème de vie sain, la fameuse “hygiène”.
Transposons les choses dans un contexte plus concret : dans la vie, l’hygiène réduit nos risques de rencontrer un médecin. Sur WordPress, l’hygiène réduit les risques de rencontrer un prestataire pour réparer votre site piraté. C’est tout simple.
Voyons à présent plus concrètement en quoi cette notion d’hygiène permet d’anticiper au maximum les problématiques de securité WordPress.