WordPress est le CMS le plus populaire. Utilisé à la fois par les personnes qui souhaitent développer seules leur site web et par des agences web capables de personnaliser à l’infini ce CMS, WordPress est devenu un incontournable. Est-il pour autant parfait ? Non, si vous ne prenez pas les mesures nécessaires pour protéger votre site web. Chez Agence Web Bretagne, la sécurité de votre site internet est notre première préoccupation. Faisons un tour des risques à envisager si vous n’êtes pas assez vigilant.
Un livre blanc sur la sécurité de WordPress
C’est une entreprise spécialisée dans la cybersécurité, Patchstack, qui dévoile à travers un livre blanc les menaces qui pèsent sur WordPress et son écosystème avec ses nombreux thèmes et plug-ins permettant de personnaliser vos sites web.
Aujourd’hui, WordPress représente 43,2 % du marché des sites, un chiffre en constante évolution. Patchstack a analysé 50 000 sites pour établir son bilan.
Il en ressort des chiffres assez inquiétants sur la sécurité de vos sites :
- en 2021, 1 500 nouvelles vulnérabilités ont été détectées, du CMS en lui-même aux plug-ins en passant par les thèmes ;
- 91,79 % des vulnérabilités sont liées à l’écosystème WordPress officiel ;
- 92,81 % des vulnérabilités concernent les extensions ;
- 6,61 % des vulnérabilités concernent les thèmes ;
- 42 % des sites ont installé au moins un composant jugé vulnérable ;
- 6 composants sur 18 sur un site web sont obsolètes, rendant votre site toujours plus vulnérable et sensible aux menaces.
L’étude de Patchstack démontre que des applications très populaires sont elles-mêmes susceptibles de menacer votre site internet. All in One SEO a été téléchargée 3 millions de fois. WP Faster Cache a été téléchargée plus d’un million de fois.
Si des correctifs de sécurité ont été créés suite aux alertes de Patchstack, de nombreuses autres failles sont encore réelles pour certaines extensions de WordPress.
Des thèmes pas assez sécurisés sur WordPress
Toujours selon Patchstack, ce sont pas moins de 55 thèmes qui présentent des failles. Ce spécialiste de la cybersécurité évoque même des failles critiques. Il a mis en place un score sur 10, les thèmes atteignant 10 étant les plus vulnérables. Voici quelques chiffres :
- 10 thèmes atteignent un score de 10/10 ;
- 1 thème atteint un score de 9,8/10 ;
- 42 thèmes atteignent un score de 8,8/10.
Des mises à jour pas assez régulières
Si des failles de sécurité sont de plus en plus présentes sur WordPress, c’est notamment en raison des comportements des utilisateurs qu’ils soient professionnels ou qu’il s’agisse simplement des propriétaires de sites. Les chiffres parlent d’eux-mêmes :
- 53 % mettent à jour les composants WordPress une fois par semaine ;
- 20 % le font chaque jour ;
- 18 % le font une fois par mois ;
- 9 % se satisfont des mises à jour automatiques et n’ont pas réellement la notion de la sécurité sur WordPress.
Un budget sécurité bien trop faible pour parer aux risques sur WordPress
Patchstack a également étudié chez les développeurs et autres propriétaires de sites web le budget qu’ils allouent à la sécurité de leur site sur WordPress. Là encore, le constat est clair :
- 28 % n’ont pas de budget alloué à la sécurité ;
- 27 % dépensent entre 1 et 3 dollars par mois ;
- 7 % ont un budget de 50 dollars par site et par mois.
Dans les entreprises, le risque a évolué au fil des années. La digitalisation a augmenté et diversifié le risque qui peut se matérialiser de différentes manières :
- perte ou vol de données ;
- ransomware ;
- virus ;
En 2021, les cyberattaques ont augmenté de 13 %, les TPE et PME étant les plus visées, notamment en raison d’un manque de sécurité sur leur site. Le ransomware est le risque le plus élevé, il représente 38 % des problèmes enregistrés en 2021.
Le problème est majeur dans la mesure où la perte de données peut tout simplement stopper l’activité d’une entreprise. Et c’est sans compter le risque sur le plan légal si des données personnelles de tiers sont subtilisées. Pour une boutique en ligne qui réalise tout son chiffre d’affaires sur internet, un manque de sécurité peut mettre en péril l’entreprise à long terme.
En clair, la cybersécurité ne doit pas être perçue comme une dépense, mais véritablement comme un investissement pour une activité pérenne.
Un travail de fond pour les agences web
Il n’est pas possible de savoir de prime abord si une extension présente une faille, aucune alerte n’est envoyée. Aussi, notre rôle est de veiller à la sécurité de votre site WordpPress en vérifiant les extensions installées, celles qui sont vulnérables et pour lesquelles aucun correctif n’est disponible. Nous recherchons alors des alternatives pour trouver installer des extensions plus sécurisées afin d’éviter un piratage de votre site web.
Quant aux thèmes, Patchstack invite à vérifier qu’ils sont bien à jour et à interdire les fichiers PHP dans les répertoires de téléchargement de fichiers via le fichier .htaccess notamment. De nombreuses autres actions sont menées afin de sécuriser votre site et de pérenniser votre activité sur le web.
Vous avez des questions quant à la sécurité de votre site sur WordPress ? Vous souhaitez que nous le reprenions en main pour le rendre moins vulnérable face aux cyberattaques ?