Dossier 10 conseils pour sécuriser son site sous WordPress
Très populaires mais aussi très exposés, les sites WordPress sont régulièrement l'objet d'attaques de grande envergure. Voici 10 conseils à suivre pour ne pas voir son site tomber.
Avec 46 millions de téléchargements, dont 25 millions pour sa dernière version 4.0, WordPress est le CMS numéro 1 sur le web. Il est extrêmement populaire auprès des bloggeurs, mais plus seulement. Beaucoup de sites d'entreprise ont fait le choix de cette plateforme du fait de sa simplicité d'utilisation et sa richesse fonctionnelle incomparable. La plateforme ne compte pas moins de 36 600 plugins qui ajoutent un nombre de possibilités infinies.
L'armée américaine, le Wall Street Journal, Sony, General Motors, Best Buy, eBay ou UPS en ont fait leur plateforme web, et derrière le site de Coca Cola se cache une nouvelle fois WordPress. Des grandes entreprises pour qui la sécurité a toute son importance, et n'a rien d'une option. Quand on est l'armée américaine ou Coca cola impossible de laisser son site vulnérable aux attaques de groupes terroristes, de pirates informatiques ou encore des Anonymous.
Or par son caractère ouvert, notamment via les plugins et thèmes graphiques, WordPress est très vulnérable. Sur ce plan, l'avis d'Hervé Schauer (HSC) est clair. "Sécurisation et WordPress, c'est un oxymore. Quiconque recherche la sécurité ne peut utiliser WordPress", lâche le consultant. Comme tout logiciel, WordPress présente un certain nombre de vulnérabilités. L'éditeur les corrige régulièrement et son système de mise à jour est désormais bien rodé. Encore faut-il tenir à jour sa plateforme régulièrement et pouvoir activer le système de mise à jour automatique. De même, des malware infectent régulièrement les plugins. A chaque fois, des dizaines voire des centaines de milliers de sites sont infectés. La dernière vague d'attaque #OpFrance a vu de nombreux sites WordPress tomber du fait d'une sécurité insuffisante. Un certain nombre de mesures peuvent être prises pour ne pas faire partie des victimes de la prochaine attaque de grande envergure contre les sites WordPress.