Connaissez vous WordPress ?
C’est une solution de système de gestion de contenus pour le Web (en anglais, un CMS : Content Management System). Gratuite, performante, ergonomique et accessible à des profils non experts en technologie, elle est victime de son succès.
Le site officiel de WordPress se vante de « faire tourner 23 % des sites Web », d’après une étude disponible ici : http://w3techs.com
Selon les sources, on estime entre 57 % et 61 % la part de marché de WordPress dans l’univers des CMS.
Ces chiffres attirent fortement les hackers (pirates), débutants ou professionnels, qui s’introduisent sur les sites pour :
– Utiliser les serveurs en tant que relais de spam (vous savez ces emails qui polluent vos boîtes de réception) ?
– Infecter des serveurs qui rejoignent les rangs des botnets (ordinateurs zombies), à l’insu de leurs propriétaires
– Introduire des publicités inattendues, souvent de nature pornographique, ou des liens vers des sites de contrefaçon
– Effectuer de l’hameçonnage (phishing ou filoutage), pour capturer les informations d’internautes en se faisant passer pour des sites officiels (sites de banque notamment), afin d’usurper leurs identités…
Les motivations de ces hackers sont d’abord lucratives :
– Récupération de clients potentiels (publicités),
– Vol d’argent (hameçonnage),
– Location pour quelques heures de centaines de milliers de serveurs infectés pour des attaques en masse (lire ci-après). Quand on sait que la « location » d’un serveur piraté peut être de 1 $ par heure, on imagine facilement qu’un jeune hacker puisse atteindre des revenus supérieurs à un réseau de dealers.
Leurs motivations sont aussi idéologiques. C’est le cas des attaques en masse de serveurs (appelées DDos pour Deny Of Service) pour pénaliser une institution, un concurrent, un site d’état, ou effectuer une pression. Le piratage de Sony Films en décembre 2014 est un exemple largement commenté dans la presse, visant à décourager Sony à diffuser son film sur la Corée du Nord.
WordPress est-il sécurisé ?
La réponse est NON.
Si vous téléchargez WordPress, même dans sa dernière version, et l’installez avec son paramétrage par défaut, vous offrez aux hackers un nid à virus.
Par définition, aucun système informatique n’est 100 % sécurisé.
En école d’ingénieur on apprend que tout développement informatique dépassant 20 lignes de code est sujet à des bugs, dont une partie peut être exploitée par des personnes malveillantes.
WordPress ne fait pas exception. Chaque jour, une course effrénée oppose la communauté des utilisateurs bienveillants et contributeurs de WordPress, aux hackers.
WordPress peut-il être sécurisé ?
La réponse est « jamais à 100 % ».
Mais cette réponse ne doit pas vous dispenser de mettre en place des solutions de sécurisation. A défaut d’en faire un système invulnérable, vous découragerez certaines catégories de hackers, qui décideront de s’attaquer à d’autres sites moins sécurisés.
Quelques pistes de sécurisation :
– La première obligation est d’utiliser des mots de passe complexes pour la connexion au back office (15 caractères environ, avec mélange de minuscules, majuscules, chiffres, et caractères spéciaux)
– Certains modules développés par WordPress sont des boîtes à outil de sécurisation (on peut citer notamment WP Acunetix Security)
– D’autres sont particulièrement vulnérables, certains sont même développés par des hackers pour introduire de nouvelles failles de sécurité
– Il faut être prudent dans le choix d’un module parmi les 35 000 disponibles en décembre 2014 sur le site officiel
Les efforts nécessaires pour limiter les attaques sont conséquents. Nous développons certains sites web de nos clients avec WordPress, qui reste une bonne solution à condition de prendre des précautions.
Nous nous devons de remercier les bénévoles bienveillants qui se sont relayés pour développer le coeur de WordPress (né en 2003) et ses modules, et qui sont très réactifs pour corriger une faille identifiée.
Pour en savoir plus :
La littérature sur le sujet de sécurisation ne manque pas, je propose aux plus curieux quelques liens intéressants :
– Une vidéo qui explique les précautions nécessaires pour sélectionner les modules de WordPress à installer (45 minutes)
– 7 conseils de sécurité WordPress (juin 2012)
– 13 conseils pour protéger l’accès administrateur de WordPress (en Anglais, janvier 2012)
– Un article qui parle aussi de la sécurisation des accès administrateur (en Anglais, août 2014)
– Un article sur la sécurisation en liens aux attaques informatiques (mai 2013)