WordPress est-il sécurisé ?

Nous travaillons sur la sécurité autour de WordPress depuis la création de 36 Pixels, en 2013 quand nous avons été challengé sur un site pour lequel la sécurité prenait une dimension tout particulièrement importante : le site d’une banque du sud de la France.
Sur toutes les pages du site, l’internaute retrouvait un Call To Action, proposant un lien vers l’espace client. Le problème étant que quiconque pourrait modifier ce lien vers une autre page serait alors en mesure de faire du phishing et voler les identifiants des clients de la banque. Plutôt dangereux donc… Malgré cette contrainte, nous avons décidé de réaliser le site sous WordPress.

Comment donc avons-nous fait ? Et comment sécurisons-nous aujourd’hui les sites WordPress que nous réalisons pour nos clients ? Afin de répondre à cette inquiétude préalable à tout début de développement d’un site, voici les deux questions légitimes que nous posent souvent nos clients lors des premiers échanges : Doit-on forcément renforcer la sécurité des sites WordPress ? Un site réalisé avec WordPress est-il plus perméable aux failles de sécurité que d’autres CMS ?

Pourquoi devoir sécuriser les sites sous WordPress ?

« Aucun développeur n’est infaillible et tout code, quelque soit le framework choisi, peut contenir des failles… »

Vous utilisez peut être WordPress au quotidien sans le savoir, mais votre site marche grace à l’execution de plusieurs centaines de fichiers appelés à chaque chargement de page, et plusieurs milliers de lignes de code interprétées au moindre de vos clics. Ces lignes de code ont été écrite par la communauté WordPress pour le coeur WordPress, par des passionnés ou des professionnels pour les thèmes ou les plugins que vous utilisez.
Et comme on le dit : personne n’est infaillible ! Aussi, des trous de sécurité peuvent parfois se retrouver au milieu d’une ligne de code.

Par ailleurs, le code du CMS WordPress (à l’instar de Drupal, Joomla, etc.) est mis à la disposition de tout le monde et disponible librement sur Internet, chacun peut donc l’étudier et essayer d’y trouver des failles. Il convient donc de sécuriser au maximum son site, fait sous WordPress ou autre d’ailleurs.

WordPress est-il plus exposé à des problèmes de sécurité que d’autres CMS ?

Ce n’est pas une question de qualité de code…

Il existe bien d’autres CMS (Content Management System) que WordPress. Nous pouvons par exemple citer Drupal, Joomla, Blogger, Spip… Pour les CMS open source, comme Drupal ou Joomla ou donc WordPress, le code source est à chaque fois disponible librement et, comme expliqué plus haut, n’importe qui peut donc partir à la recherche d’une faille dans le code.

Sécurisation de WordPress

La qualité du code de WordPress n’a rien à envier aux autres

WordPress est-il plus exposé que les autres à des problèmes de sécurité ?
À vrai dire, il n’y a pas de raison pour que la communauté de développeurs de WordPress fasse plus d’erreurs que la communauté Joomla ou Drupal. Ainsi, que vous choisissiez WordPress ou Drupal, il n’y a pas plus de souci à se faire en terme de qualité du code.

Mais une question de chiffre !

En revanche, il y a beaucoup plus de sites Internet sous WordPress que sous tout autre CMS. Pour vous donner une idée, il y a plus de 24 millions de sites aujourd’hui présents sur Internet qui sont basés sur WordPress, cela représente pas moins de 52% de la totalité des sites utilisants un CMS. Pour vous donner une échelle, pour Joomla, on approche les 1,8 millions (3,71%) et 600 milles pour Drupal (1,27%).

Sécurisation du CMS WordPress

Ainsi, on pourrait potentiellement trouver la réponse à notre question ici, si WordPress n’est pas plus faillible que n’importe quel autre CMS, c’est surtout son omniprésence qui intéresse les hackers. La moindre faille peut ainsi être exploité sur des millions de sites.

Mais la communauté WordPress veille et comme les enjeux y sont plus importants, les failles sont découvertes plus rapidement et la réactivité de résolution de ces dernières est d’autant plus franche.

Pour résumer, quelque soit votre site et la techno qu’il utilise, il faut avoir à l’esprit que tout site est « attaquable » et ne jamais croire qu’une techno est indestructible. Avoir affaire à un développeur qui a conscience de cela et qui mettra en place une sécurisation supplémentaire à la base de tous ses projets, c’est la clé. Et pour ce qui est de la sécurité WordPress en particulier, c’est le dictat des plus grands, plus on est visible, plus on est attaqué mais plus on est visible, plus on est fort 😉