10 conseils pour sécuriser son site sous WordPress 9. Valider la sécurité des plugins choisis

La richesse des extensions disponibles pour WordPress pousse naturellement les Web Agency à intégrer plusieurs plugins dans leurs réponses aux appels d'offres pour la création de nouveaux sites. L'ajout de fonctionnalités évoluées de plugin permet de gagner beaucoup de temps et d'argent dans un projet.

Néanmoins, il faut se préoccuper de la sécurité de chacun des plugins qui seront installés sur le site. "Nous menons des audits de sécurité sur les plugins WordPress", explique Vincent Nguyen, consultant sécurité chez Solucom. "On réalise une revue de code du plugin pour s'assurer qu'il n'amène pas une vulnérabilité voire, qu'il n'embarque pas une porte de derrière."

Analyser son site et réaliser une revue de configuration

un malware venu s'insérer au début du fichier index.php d'un blog à partir d'un
Un malware venu s'insérer au début du fichier index.php d'un blog à partir d'un plugin mal sécurisé. © Capture / JDN

L'analyse du code par des experts en sécurité informatique va permettre de s'assurer de l'innocuité du plugin quant à la sécurité du site. Cette analyse peut être assez rapide, notamment grâce à des outils spécialisés.

Mais Vincent Nguyen estime que pour sécuriser un site WordPress, il faut aller plus loin. "En fonction de la criticité du site et des donnes qui vont être manipulées, on peut aussi mener une revue de configuration, du serveur web lui-même et de l'OS. L'idéal, c'est de coupler une revue de code avec un test d'intrusion sur le site complet. On qualifie ainsi l'ensemble des plugins, ainsi que la configuration du serveur", conseille Vincent Nguyen.

Wordpress