#Startup : Comment sécuriser votre WordPress ?

plug in sécurité wordpress

WordPress et les CMS sont le moyen le plus simple d’être rapidement visible sur internet. C’est le cas de la majorité des startups : on prend un vps, on télécharge WordPress, on achète un thème, on installe quelques plug-ins, et c’est parti : l’aventure commence. Mais les ennuis liés à la sécurité informatique aussi. Voici nos conseils.

Les CMS : cible privilégiée des pirates

WordPress est open source et fonctionne sur le principe de plug-ins. Il existe une multitude de templates qui s’adapteront à vos besoins.  Les plug-ins les plus connus sont développés par de grosses entreprises qui ont les moyens d’auditer leur code et de prévenir les failles de sécurité, ce qui n’empêche pas des loupés. Cependant, des plug-ins codés par des plus petites entités n’ayant pas les moyens de vérifier leur code ont plus de chances de contenir des failles. Si vous installez un plug-in vulnérable sur votre site, un concurrent ou une personne malintentionnée pourraient s’en servir pour récupérer votre base de données et dégrader votre image de marque en modifiant votre page d’accueil. Pour limiter les dommages, vous pouvez installer des plug-ins de sécurité comme wp all in one security, et adopter les bons réflexes.

Les bons réflexes en sécurité informatique

Pour rendre la tâche du pirate plus difficile, il faut correctement configurer son serveur : pare-feu, outils de prévention et de détection d’intrusion, s’abonner à des listes de sécurité, et auditer régulièrement son système. Ces tâches prennent évidemment du temps et nécessitent quelques compétences. Si vous n’en possédez pas, n’hésitez pas à vous faire accompagner par des entreprises spécialisées en sécurité informatique. Vous pouvez également apprendre et réaliser ces opérations vous-mêmes, wpmarmite propose des tutos en ce sens. La mise en place de sauvegardes régulières vous permettra de minimiser les dégâts en cas de piratage (wp-backup). Enfin, pour être sûr que le plug-in/thème que vous installez est sain, vous pouvez vérifier sur une base de données de vulnérabilités (exploit-db.com) si des vulnérabilités existent sur  celui-ci. Si c’est le cas, regardez dans le changelog si ces failles ont été corrigées, sinon, prenez un autre plug-in. En sécurité informatique, le meilleur réflexe, c’est de prévenir plutôt que de guérir.

L’avenir de la sécurité : récompenser les chercheurs de vulnérabilités

Pour renforcer la confiance de vos utilisateurs et vérifier de manière proactive votre sécurité, vous pouvez mettre en place un système de bug bounty : vous récompensez des personnes lorsqu’elles trouvent des failles de sécurité sur vos sites et services.
Plusieurs services en ligne vous permettent de mettre en place votre programme de bug bounty, comme bountyfactory.io et bugcrowd.
Un exemple de Bug Bounty est le challenge Hackmyfortress qui propose une récompense de 15 000$ à celui qui arrivera à pirater le site et récupérer un élément de la base de données, et qui a déjà vu défiler 250 000 tentatives échouées.


Adrien Thierry est le dirigeant de la société Seraum, qui accompagne les entreprises dans leur sécurité informatique.

Écrit par

I started very young in 'hacking'. Not the bad hacking you see in movies, but the ethical and intelligent hacking. I want to completely understand things. That's why I can secure and improve them.

1 Comment

  • Très astucieux et informatif comme article. Je trouve que WordPress est extrêmement simple d’utilisation et que la mise en place d’une sauvegarde permanent est très pratique dans la sécurisation des données.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *