Analyse approfondie de la sécurité de WordPress : comprendre sa véritable sécurité

WordPress est-il sûr ? De nombreux débutants peuvent s'inquiéter de cette question, surtout lorsqu'ils apprennent que WordPress est un projet open source. Existe-t-il des données qui peuvent nous aider à comprendre le degré de sécurité de WordPress ?

La réponse est oui. Dans cet article, nous avons rassemblé autant de données et d'informations importantes que possible sur la sécurité de WordPress. Nous examinerons en détail tous les aspects de la sécurité, du noyau de WordPress, des thèmes et des plugins, de la sécurité des informations de connexion et des services d'hébergement.

Notre objectif est de vous donner une image claire de la sécurité de WordPress, ainsi que de vous indiquer les risques possibles et la manière de s'en protéger.

Selon les statistiques, WordPress est le plus ciblé par les pirates informatiques.

Lorsque l'on parle de la sécurité de WordPress, il y a un chiffre important à retenir : 43%. Selon W3Techs, c'est le nombre de sites web dans le monde qui sont construits avec WordPress. Ce chiffre ne correspond pas à la part de marché de WordPress sur l'ensemble des systèmes de gestion de contenu (qui est en fait plus élevée), mais à sa part sur l'ensemble des sites web de l'internet.

Il s'agit d'un pourcentage assez élevé, qui montre que WordPress est très populaire. Si c'est une bonne nouvelle pour les partisans de WordPress, cela signifie aussi que c'est une cible plus facile pour les pirates informatiques.

En raison du grand nombre de sites web WordPress, cette plateforme est devenue le point de mire des attaques des pirates informatiques. En fait, selon un rapport de recherche sur les menaces publié par Sucuri en 2022, les sites web WordPress représentaient 96,21 TP3T de tous les sites web infectés.

Cela ne semble pas très sûr, n'est-ce pas ?

Lorsque l'on voit que WordPress est la cible de nombreux piratages, on peut penser que la plateforme présente des failles de sécurité. Pourquoi est-elle une cible privilégiée pour les pirates informatiques ?

La raison en est simple : la popularité même de WordPress en fait une cible beaucoup plus visible et attrayante pour les pirates. Il est plus efficace et plus facile pour les pirates d'attaquer une plateforme utilisée par des centaines de millions de sites web que d'attaquer une plateforme avec une base d'utilisateurs plus petite. Les pirates en ont fait un usage judicieux.

La mauvaise nouvelle, c'est qu'il y a effectivement de nombreux sites WordPress qui sont attaqués avec succès par des pirates informatiques chaque année. Mais la bonne nouvelle, c'est que, comme vous le verrez plus loin, ces attaques ne sont pas inévitables. En fait, de nombreuses attaques réussies peuvent être évitées. L'essentiel est de savoir comment se protéger.

Statistiques sur les vulnérabilités du noyau de WordPress

Pour déterminer si WordPress est sûr, examinons tout d'abord les statistiques de sécurité concernant le logiciel principal de WordPress.

La plupart des sites piratés n'ont pas été mis à jour.

Selon le rapport de Sucuri, la plupart des sites WordPress piratés utilisent des versions plus anciennes. D'ici 2022, plus de la moitié des sites web infectés par des logiciels malveillants n'auront pas été mis à jour avec la dernière version de WordPress.

Il n'est pas surprenant que certaines anciennes versions de CMS présentent de nombreuses failles de sécurité connues. Si vous utilisez encore l'une de ces versions pour gérer votre site web, vous invitez directement quelqu'un à l'attaquer.

En fait, la plupart des problèmes de sécurité étaient concentrés dans les versions 4.0 et antérieures de WordPress. Depuis, le nombre de failles de sécurité a considérablement diminué.

L'étude de Sucuri montre également cette tendance. Le nombre de sites WordPress qui sont piratés parce qu'ils ne sont pas mis à jour est en baisse par rapport à ce qu'il était auparavant.

En fait, de tous les systèmes de gestion de contenu étudiés, c'est WordPress qui présente le plus faible pourcentage d'infections dues à l'utilisation d'anciennes versions.

Cette tendance se poursuit depuis deux ans, période pendant laquelle WordPress a connu une légère diminution des infections provenant d'anciennes versions. Il s'agit d'une comparaison avec les données de 2021.

Il s'agit d'un problème lié à l'utilisateur, et non à WordPress !

Les utilisateurs de WordPress sont-ils assidus dans la mise à jour de leurs sites ? La vérité est que beaucoup d'entre eux ne suivent pas. Voici la répartition des versions de WordPress fonctionnant sur des sites web dans la nature, telle qu'elle a été enregistrée par WordPress.org.

Toutefois, la bonne nouvelle est que la majorité des utilisateurs utilisent au moins la version 4.0 de WordPress, plus sûre, ou une version plus récente, et que les trois quarts ont mis à jour au moins la dernière version majeure, ce qui constitue une amélioration. En 2016, par exemple, seuls 50% environ l'avaient fait.

L'une des raisons de ce progrès pourrait être la fonction de mise à jour automatique introduite dans la version 5.6 de WordPress. Les utilisateurs n'ont plus besoin de cliquer manuellement sur le bouton de mise à jour et les sites web sont en mesure d'installer automatiquement les nouvelles versions de WordPress, ce qui favorise certainement une dynamique de mise à jour positive.

Une infrastructure de sécurité WordPress efficace

Bien que tous les utilisateurs ne mettent pas activement à jour leurs sites, l'équipe de sécurité de WordPress est en mesure de répondre efficacement aux problèmes de sécurité découverts dans chaque nouvelle version et de les corriger rapidement. En 2023, WordPress a déjà publié trois mises à jour axées sur la sécurité qui corrigent environ 20 à 30 failles de sécurité potentielles, la version WordPress 6.0.3 corrigeant à elle seule 16 problèmes de sécurité. En 2022, WordPress a publié quatre mises à jour axées sur la sécurité, corrigeant un total de 26 vulnérabilités.

Cette attention portée à la sécurité ne se limite pas au logiciel principal de WordPress, elle s'étend à l'ensemble de l'écosystème. Par exemple, lorsque Elementor a été confronté à une importante faille de sécurité, celle-ci a été rapidement corrigée. De même, Ninja Forms a résolu un problème de sécurité après avoir reçu une mise à jour obligatoire de WordPress.org, et BackupBuddy a rapidement corrigé une vulnérabilité de sécurité à haut risque et envoyé une mise à jour aux utilisateurs.

Ainsi, même si WordPress, comme tout autre logiciel, peut rencontrer des problèmes de sécurité, il a mis en place des protections pour y faire face rapidement. Le plus grand défi est de s'assurer que les utilisateurs appliquent ces mises à jour de sécurité et ces correctifs en temps voulu.

Statistiques sur la sécurité des thèmes et des plugins WordPress

En tant que système de gestion de contenu le plus populaire au monde, WordPress offre un grand nombre d'extensions, dont beaucoup sont gratuites. À ce jour, le catalogue officiel de WordPress contient à lui seul près de 60 000 plugins et plus de 11 000 thèmes.

Outre le catalogue officiel de WordPress, des milliers d'autres plugins sont disponibles en ligne, dont beaucoup avec des options payantes. Cela fait de WordPress une plateforme puissante, car quelle que soit la fonctionnalité dont vous avez besoin, il y a de fortes chances que quelqu'un ait déjà développé une solution.

Cependant, chaque plugin ou thème supplémentaire installé sur un site web peut ouvrir une nouvelle porte aux attaquants. Ces extensions relèvent de la responsabilité de divers développeurs et peuvent ne pas être contrôlées aussi rigoureusement que le logiciel principal de WordPress, ce qui les rend plus susceptibles de dissimuler des risques de sécurité. En outre, il arrive que les développeurs ne mettent plus à jour leurs produits, ce qui rend ces plugins et ces thèmes obsolètes.

C'est pourquoi les plugins en particulier constituent une part importante du problème de sécurité de WordPress, et les données de WPScan.com montrent que les plugins sont la source de la majorité des vulnérabilités de sécurité de WordPress.

Patchstack a obtenu des chiffres similaires.

Apparemment, les plugins gratuits posent un plus grand risque pour la sécurité de WordPress. Selon les recherches de Sucuri, les thèmes et les plugins payants ne constituent qu'une petite partie (8,621 TP3T) de toutes les vulnérabilités tierces, tandis que la majorité (91,381 TP3T) provient d'extensions gratuites.

Les données de Sucuri montrent que 36% avaient au moins un plugin ou un thème avec des vulnérabilités connues installé au moment où les sites infectés ont été trouvés.

Les extensions populaires sont à l'origine de la plupart des piratages informatiques

Sucuri signale que parmi les plugins les plus vulnérables figurent les anciennes versions de Contact Form 7 (27.441 TP3T), Freemius Library (20.851 TP3T) et WooCommerce (14.511 TP3T). La liste en comporte également plusieurs autres.

Alors pourquoi utilisons-nous ces plugins qui posent des problèmes de sécurité ? En fait, le problème n'est pas la sécurité de ces plugins eux-mêmes, mais le fait qu'ils soient très populaires. Contact Form 7, par exemple, compte plus de 5 millions d'installations.

En outre, les équipes de développement de ces plugins sont généralement promptes à résoudre les problèmes de sécurité lorsqu'ils sont identifiés. Le problème se pose principalement lorsque les utilisateurs ne mettent pas à jour leurs plugins en temps voulu. Entre-temps, certains travaux sont toujours en cours pour remédier à ces risques de sécurité, comme la proposition d'un vérificateur de plugins, qui est similaire à l'idée d'un outil de vérification de thèmes.

L'essentiel est donc de garder le thème et les plugins à jour, ce qui est tout aussi important que de maintenir le reste du site WordPress.

Vulnérabilité de la connexion

Les informations de connexion sont un autre facteur clé qui rend un site web vulnérable au piratage. Si des noms d'utilisateur et des mots de passe simples sont utilisés, il devient très facile de déchiffrer ces informations d'identification par des attaques par force brute ou par écrasement.

Dans ce cas, quelle que soit la mise à jour de votre site ou la sécurité de vos plugins et thèmes, une fois que quelqu'un a obtenu un accès complet à votre site, il n'y a plus de limites à ce qu'il peut faire.

Par exemple, Sucuri a trouvé des administrateurs WordPress malveillants parmi les sites infectés à 32.69%. Voici quelques exemples de noms d'utilisateur et d'adresses électroniques qu'ils utilisent souvent.

D'un autre côté, cette section est l'un des endroits où l'utilisateur a un contrôle direct. Par exemple, WordPress offre la possibilité de générer automatiquement des mots de passe sécurisés, alors pourquoi ne pas l'utiliser ?

Cependant, vous devez faire de même pour les autres comptes de votre site web, tels que votre compte d'hébergement et vos identifiants FTP. Par ailleurs, il existe d'autres moyens d'améliorer la sécurité de votre page de connexion, comme la limitation du nombre de tentatives de connexion et l'activation de la double authentification.

Statistiques sur la sécurité de l'hébergement

L'environnement d'hébergement et la technologie utilisée sont également importants pour la sécurité de votre site web, en particulier pour la version de PHP qui fait fonctionner WordPress. Par exemple, PHP 7 introduit de meilleures fonctions de sécurité par rapport à la version précédente PHP 5.

De plus, les développeurs de PHP ont une politique stricte d'arrêt du support pour les anciennes versions. À ce jour, le support et les mises à jour de sécurité ont été interrompus pour les versions antérieures à PHP 8.0. Il est donc préférable de ne pas utiliser ces anciennes versions pendant de longues périodes.

Ici, WordPress n'a pas fière allure. Alors que la grande majorité des sites WordPress fonctionnent au moins avec PHP 7.0, dont près de la moitié avec 7.4, seul un peu plus d'un quart d'entre eux utilisent une version activement supportée.

Il y a même environ 6% qui fonctionnent encore avec la version 5.x de PHP, qui n'est plus supportée depuis des années. Si vous n'avez pas mis à jour votre version de PHP, faites-le.

Les statistiques de sécurité de WordPress en quelques mots

Aucun CMS n'est sûr à 100 % et, en fait, rien de ce qui est connecté au web n'est jamais complètement sûr. Cependant, malgré ce que vous avez pu entendre ailleurs, WordPress a un très bon niveau de sécurité dans l'ensemble. Il est vrai que certains problèmes doivent être résolus, mais la plupart d'entre eux sont traités de manière agressive.

Si vous souhaitez rendre votre site web plus sûr, voici quelques conseils à suivre :

• Mettez toujours votre WordPress, vos plugins et vos thèmes à jour.
• N'utilisez que des extensions provenant de sources fiables.
• Utilisez des mots de passe robustes pour tous les comptes de votre site.
• Envisager l'utilisation d'un pare-feu ou d'un CDN.
• Limiter le nombre de tentatives de connexion.
• Crypter le trafic du site web avec des certificats SSL, y compris les pages d'administration du backend.
• Choisissez un service d'hébergement qui maintient les versions PHP à jour.

Suivez ces conseils et votre site WordPress aura un bilan positif, du moins en ce qui concerne la sécurité.