Retour sur la sécurité des sites Web WordPress (et des autres)

En moins de deux semaines, trois extensions WordPress très en vue viennent de subir ce qu’on appelle une faille zero-day. En gros, il existe dans ces outils ajoutant des fonctions à WordPress une vulnérabilité connue, mais pour laquelle il n’existe aucune solution connue.

D’abord, je voudrais rassurer les possesseurs de sites WordPress, cet outil de développement de sites est parfaitement sécurisé. En revanche, tout dépend ce qu’on fait avec… Imaginons que vous possédiez une voiture équipée de tous les dispositifs de sécurité possible : ABS, ESP, freinage d’urgence… Malgré cela, si vous roulez à 150 km/h sur une petite route de montagne, vous allez bientôt continuer à voyager, mais beaucoup plus loin, pour un monde meilleur.

Par ailleurs, si on parle si souvent de WordPress pour des affaires de sécurité, c’est parce qu’il équipe un tiers des sites Web. Le nombre d’accidents en France impliquant des Renault n’a par exemple rien à voir avec la fiabilité de cette marque.

Sur WordPress (comme ailleurs), la raison principale des soucis en la matière vient du fait que les pratiques de sécurité élémentaires ont un peu tendance à passer à l’as. Comme le dit un proverbe bien connu dans le monde du support technique informatique, « le problème se situe entre le fauteuil et l’ordinateur ».

Si votre identifiant administrateur ou votre mot sont simple à trouver (ex : admin/password, ou encore admin/123456), votre sécurité ne vaut rien, et vous en êtes le seul responsable. Idem si ces informations se trouvent sur un postit collé à votre écran. Pas mieux non plus si vous avez communiqué ces informations à tour de bras autour de vous.

Et j’ai gardé le meilleur pour la fin, quel sera votre dernier recours si le pire arrive un jour ? Disposez-vous d’une sauvegarde de votre site ? Si votre réponse ressemble à « non », ou « je ne sais pas », ou encore « mon hébergeur le fait automatiquement », alors vous devriez vraiment placer ce sujet en haut de vos priorités du jour.

 Mais revenons donc à ces fameuses failles zero-day. Le problème ne vient pas de leur existence, mais de leur publication. Manifestement, des développeurs les ont identifiées. Et plutôt que de les signaler à l’éditeur, ils ont préféré se faire mousser en public. Merci les amis.

Résultat, l’éditeur doit maintenant mettre le turbo, mais le résultat se fera parfois attendre. En attendant, si vous vous trouvez dans ce cas, il n’y a donc pas de solution. Vous devez impérativement désactiver voire désinstaller les extensions en question, en croisant les doigts pour que le correctif ne tarde pas.

Voici à titre d’exemple deux extensions très populaires et actuellement concernées : Yuzu Related Posts, ainsi que Yellow Pencil. La semaine dernière, c’était Social Warfare, qui a réglé le problème en deux jours. Mais cette courte période à quand même occasionné un certain nombre de victimes.

Mais alors comment faire pour savoir que ces satanées failles existent ? Eh bien il n’y a pas de solution unique. Vous devriez au choix butiner régulièrement sur les sites consacrés à WordPress et sa sécurité. Ou bien vous abonner moyennant finances à Plugin Vulnerabilities. Ou encore laisser ce soin à Multimediatique ou au prestataire en charge de votre sécurité.

Vous n’en avez pas ? Je vois. Vous êtes à part. Le risque ne peut pas vous atteindre, j’imagine. Votre site Web ne peut pas figurer parmi les quelque 30000 piratés chaque jour dans le monde. Hum. Bien sûr. A vous de voir, mais vous ne pourrez pas dire que personne ne vous a prévenu.

Enfin prenez quand même le temps de réfléchir sérieusement à la question.

Vous avez aimé cet article? Partagez-le:

Catégories ,

Envie de recevoir les recettes régime

présentées sur cette page ?

Abonnez-vous à notre newsletter

quotidienne

Retour en haut