Skip to main content

En 2021, le CMS WordPress.org est utilisé dans 40% des sites web sur la planète et occupe 64% des parts de marché de tous les CMS confondus.
Alors pourquoi autant de monde se jetterait sur ce CMS alors qu’il ne serait pas sécurisé? Est-ce parce qu’il est gratuit? Open-source? Facile d’accès?

WordPress est-il sécuritaire ou peut se faire hacker facilement?

Photo by Nahel Abdul Hadi on Unsplash

Mettons nous dans la peau d’un hackeur deux minutes. Un hackeur peut avoir diverses motivations, notamment :

  • infecter des sites web pour dérober de l’information,
  • détourner l’argent des ventes du site web,
  • afficher/promouvoir des propos quelconques (violents, fanatiques…),
  • insérer des publicités indésirables afin de générer des revenus ou des clics sur mes sites,
  • faire transiter du “SEO juice” vers mon site par le biais de liens cachés ou visibles

WordPress.org étant très largement utilisé, il tentera de viser les failles de sécurité de ce CMS.

Nous trouvons les failles de sécurité d’un CMS de ce genre dans les endroits suivants :

  1. Le noyau WordPress : la communauté étant très vaste, ces failles sont rapidement détectés et mis à jour rapidement (en moins de 24h).
  2. Les extensions (plugins) : chaque plugin a son ou ses développeurs derrière. Certains ont peu d’expérience en sécurité ou ont abandonné leur extension, laissant des failles de plus en plus grandes alors que les technologies évoluent.
    Les plugins sont les origines principales de hacks. Trop en utiliser, utiliser ceux non mis à jour depuis longtemps, ou très peu utilisés/fiables, augmentent les failles de sécurité potentielles. Minimiser les plugins reste le plus adéquat à faire, ainsi que les garder à jour.
  3. Le thème utilisé : les thèmes commerciaux, dits premium, contiennent eux-aussi un lot de plugins et fonctions avec. Ce qui amène aussi son lot de failles avec également. Surtout lorsque le thème ne se met à jour que rarement (une fois par mois serait la norme)
  4. Le serveur web utilisé : la deuxième source de hack provient d’un serveur web mal sécurisé ou mal configuré. De nombreuses sources peuvent être la cause de ces hacks, telles que la technologie PHP utilisée, l’absence de contingentement entre les comptes client, le manque de pare-feu, l’activation de malware via les courriels.

Alors oui, WordPress se fait probablement plus hacker que les autres CMS, mais c’est principalement parce qu’il est le plus utilisé des CMS.
De bonnes pratiques de création de site web, maintenance et mise à jour du site web permettent d’éviter ces hacks.
Jamais aucun site web du Collectif WEB n’a déjà été hacké depuis sa création en 2014.
Dotez-vous de ces bonnes pratiques et tout ira bien.

Référence :

10 Tips for Securing a WordPress Website

Alexandre Alves

À propos Alexandre Alves

Dirigeant du Collectif WEB. Passionné par la psychologie, Alexandre applique ses connaissances dans le monde du web. Son côté geek depuis petit l'a amené à développer lui-même des sites web.

Écrire un commentaire