L’importance des mises à jour WordPress

On entend souvent dire qu’un site sous WordPress n’est pas sécuritaire ou qu’il est souvent victime d’attaques. Mais est-ce que le problème est vraiment WordPress?

Victime de sa popularité

WordPress étant la plateforme web la plus utilisée au monde ( https://kinsta.com/wordpress-market-share/ ) pour plus de 35% des sites web et 65% d’utilisation pour les CMS. WordPress est une plateforme très répandue et pour certains, peut-être même trop.

Le nombre fulgurant de sites web et applications web qui utilisent WordPress comme principal outil le propulse au numéro un des cibles pour les attaques de pirates informatiques. Plus le CMS est populaire, plus ces derniers ont de grandes chances de pouvoir propager leurs logiciels malveillants rapidement.

WordPress core et la sécurité

À la base, la sécurité sur WordPress est relativement bonne. Tous les outils sont là pour que le site soit sécuritaire. Le code du CMS est souvent mis à jour pour ajouter des fonctionnalités, mais aussi, pour corriger des failles de sécurités. Comme dans le jeu du chat et de la souris, plus les failles sont découvertes, plus elles sont corrigées rapidement et plus les pirates essaient de trouver d’autres failles plus poussées. C’est une roue qui tourne pour toutes les applications sur le web.

Le plus gros du problème réside cependant dans les extensions ou les thèmes qui sont ajoutés au site web pour améliorer le visuel ou offrir d’autres fonctionnalités plus élaborées. Ces plugins et thèmes comportent malheureusement souvent plusieurs failles de sécurités dans le code. Étant donné la facilité d’utilisation de WordPress, la plupart des administrateurs de sites web ne prennent pas le temps d’analyser le code des extensions ajoutées afin de s’assurer de la sécurité de ceux-ci, par manque de temps ou de connaissances.

Par contre, toutes extensions ajoutées à un site web peut potentiellement exposer les failles de sécurités de votre système aux pirates. Et ce, peu importe le système de gestion de contenu utilisé ( ex : Drupal, Joomla, Yii).

Failles récentes

La semaine dernière, des failles importantes ont été découvertes dans deux extensions très utilisées par les administrateurs de sites sous WordPress. Il est estimé qu’environ 320 000 sites web seraient vulnérables à la faille. Cette dernière permet a un utilisateur de se connecter en tant qu’administrateur sans avoir à utiliser de mot de passe. Les extensions  InfiniteWP Client, qui offre une possibilité de gérer plusieurs sites WordPress d’un même endroit, et WP Time Capsule qui permet la sauvegarde de données des sites web vers divers serveurs, doivent donc être mises à jours le plus rapidement possible.

Je ne le dit jamais assez; il est donc vraiment essentiel de vérifier si des mises à jours sont disponibles pour une installation WordPress de manière régulière. Encore mieux, assurez-vous d’avoir un contrat de maintenance avec votre fournisseur afin d’éviter les mauvaises surprises!