securiser-site-wordpress-facilement-1080x675

Système de gestion de contenu open source le plus utilisé de par le monde, WordPress, c’est plus de 41,8 % des sites internet dans le monde. Victime de son succès, WordPress est devenu la cible d’attaques virulentes et en flux continu de la part des hackers toujours plus aguerris. Face à ses vulnérabilités, la sécurité de WordPress est un sujet crucial et essentiel à ne pas négliger pour tout administrateur système soucieux de préserver son site des attaques endogènes qu’exogènes.

WordPress : Présentation générale

WordPress est un outil de création de sites web basé sur le système open source de gestion de contenu dynamique ( SGC/CMS :Content Management System) libre et ouvert, écrit en PHP. WordPress est distribué sous licence GPLv2 ou + (General Public License) ce qui procure quatre libertés fondamentales, et qui peuvent être considérées comme la « Déclaration des Droits » de WordPress :

  1. La liberté d’exécuter le programme, pour n’importe quel but.
  2. La liberté d’étudier comment fonctionne le programme, et de le changer pour qu’il fasse ce que vous souhaitez.
  3. La liberté de redistribuer.
  4. La liberté de distribuer à d’autres des copies de vos versions modifiées

 

Utilisé par des millions de sites web, applications et blogs, WordPress alimente actuellement 41% des 10 millions de sites web les plus vus sur Internet.  64 % des sites utilise ce CMS ce qui équivaut à 62 % des parts de marché. Ses fonctionnalités de création et gestion de contenus simplifiées, sa convivialité, son administration et la grande communauté de développement en font un des systèmes open source de gestion de contenu le plus utilisé et pour tous types de sites web.

WordPress, une croissance constante

A l’origine, cet outil open source était utilisé majoritairement pour des blogs. Mais aujourd’hui, la puissance et l’évolution de WordPress en fait un CMS permettant de concevoir n’importe quel site web avec une interface simple à utiliser : boutique e-commerce, site de services et sites vitrine, plateforme media social, web-tv… Avec une communauté internationale, des milliers de tutoriels et ressources informatives, extensions (plugins) et thèmes, chacun de nous peut concevoir un site sur mesure.

Depuis sa création en 2002, les parts de marché de ce CMS d’origine appelé B2 par Michel Valdrighi, n’ont cessé d’augmenter dans le monde entier et par rapport à Joomla, son premier concurrent :

Croissance wordpress vs joomla
Parts de marché de WordPress pour tous les sites internet VS Joomla par Seomix.fr

C’est en mai 2003 que la première version officielle de WordPress voit le jour en s’écartant du CMS B2. C’est aussi depuis cette année que les équipes de sécurité et de développement de WordPress n’ont jamais cesser de collaborer sur l’identification et la résolution des menaces de sécurité dans le cœur du logiciel actuellement disponible en téléchargement sur WordPress.org. En plus des 10 risques de sécurité applicatifs web les plus critiques identifiés par The Open Wev Application Sécurité Project ( OWASP), la communauté de sécurité des applications web travaille aussi sur les recommandations et les documentations des bonnes pratiques pour les auteurs des thèmes et des plugins.

A ce sujet, il est fondamental que les développeurs et administrateurs soient très vigilants dans l’utilisation des API’s (interfaces de programmation). Tant du cœur et de la configuration de serveur qu’au niveau des comptes d’administrations en utilisant des mots de passe forts.

WordPress et la sécurité : versions et équipes dédiées

Numérotation des versions et versions de sécurité majeures et mineurs

  • Les versions majeures : elles ont pour but d’ajouter de nouvelles fonctionnalités et des API’s pour les développeurs. Pour reconnaitre une version majeure de WordPress, il faut se référer aux deux premières séquences de chiffres (exemple : 3.5, 3.6, 3.7…). Chaque version majeure à sa propre numérotation de type WordPress 3.9 par exemple. Si une « majeure » signifie que l’on peut briser la rétrocompatibilité, le projet WordPress s’engage fortement sur la compatibilité ascendante. Ce qui résulte que les thèmes WordPress, les extensions et le code personnalisé continuent de fonctionner même lorsque quand le cœur est mis à jour. Un fort encouragement pour les administrateurs des sites de mettre à jour régulièrement leur version avec les derniers correctifs de sécurité.
  • Les versions mineures : Logiquement, une version mineure de mise à jour se repère par la troisième séquence de chiffre : exemple 3.4.1, version 3.4.2… Elles ont pour but de résoudre uniquement les problèmes de sécurité ou bogues.

 

Les équipes de sécurité WordPress

WordPress.com est la plus grosse installation de WordPress au monde, gérée par la société Automattic et fondée par Matt Mullenweg, le co-créateur du projet WordPress. Elle fonctionne avec le noyau du logiciel WordPress et possède ses propres processus et solutions de sécurité.

En relation avec des chercheurs connus dans le domaine de la sécurité ainsi qu’avec des sociétés d’hébergements, ce sont 50 experts développeurs et consultants de l’équipe de sécurité WordPress qui travaillent à résoudre les problèmes comme par exemple la résolution de la vulnérabilité dans l’analyseur PHP XML, utilisé par l’API XML-RPC livrée avec WordPress depuis sa version 3.9.2. Une résolution permis par les efforts des équipes de sécurité de WordPress et de Drupal.

L’équipe de direction est constituée de cinq développeurs en chef, et de plus d’une douzaine de développeurs. C’est eux qui ont l’autorité finale sur les décisions techniques, et guident les discussions architecturales et les travaux d’implémentation.

À chaque version, des centaines de développeurs volontaires contribuent au code de WordPress. Ces développeurs contributeurs expérimentés et dignes de confiance sont des anciens ou actuels « committers » (personnes habilitées à modifier le code) et des futurs « committers » à fort potentiel.

Risques de sécurité sur WordPress, processus et mises à jour

Croyant fortement à la divulgation responsable ( (Responsible Disclosure) soit le signalement des vulnérabilités potentielles par les utilisateurs, l’équipe de sécurité WordPress ne néglige aucun des signalements et éventuelles vulnérabilités reçus directement via le  WordPress HackerOne5. Elle se charge de communiquer en interne par une chaine Slack privée et travaillera tant le suivi (par une installation privée de Trac) que la résolution des bogues et problèmes liés à la sécurité WordPress. L’équipe de sécurité analyse la sévérité des menaces et selon leur importance, elle travaillera sur un correctif ou une version de sécurité qui sera validée dans la prochaine version de mise à jour WordPress. Dès sa sortie, l’annonce et les détails des modification sont faites sur WordPress.Org. Lors de la sortie d’une nouvelle version, les utilisateurs et administrateurs WordPress reçoivent l’information d’une mise à jour à télécharger sur le tableau de bord de leurs sites.

Mises à jour automatiques en arrière-plan pour les versions de sécurité

C’est au choix des administrateurs de sites individuels d’opter pour le retrait des mises à jour automatiques en arrière-plan via leur fichier de configuration ou de conserver  cette fonctionnalité des mises à jour automatique. Une option qui est fortement recommandée par l’équipe chargée du cœur de WordPress sécurité, tout comme l’utilisation de la dernière version stable de WordPress.

Sécurité des extensions et thèmes WordPress

Le thème par défaut fourni par le noyau WordPress est un thème qui a été revu et testé en profondeur au niveau de la sécurité tant par l’équipe du développement du thème que par l’équipe du noyau WordPress. Pour ses fonctionnalités et sa sécurité, ce thème peut être utilisé pour la personnalisation ou pour créer un thème enfant.

Aujourd’hui, on compte 5 000+ thèmes et 50 000+ extensions listées sur le site WordPress.org et téléchargeables gratuitement. Ces extensions et thèmes fournis ne garantissent pas être exempts de failles de sécurité. Les développeurs et auteurs des extensions doivent consulter une large documentation sur le développement et les lignes de conduite à suivre avant de soumettre leur plugin au dépôt. Pour optimiser la sécurité des extensions ou thèmes WP, l’équipe de sécurité veille au grain. Si elle reçoit un signalement de vulnérabilité d’une extension ou l’a constatée par elle-même, elle demande à l’auteur de collaborer ensemble pour apporter le correctif nécessaire. Selon la gravité de la menace de sécurité ou au cas où l’auteur ne répond pas à la demande de correction, l’extension ou le thème sera retiré du répertoire public.

Chaque thème ou extension peut inclure des correctifs qui sont mis à la disposition des administrateurs WordPress avec une explication des modifications, ses mises à jour de sécurité sont directement visibles et téléchargeables sur le tableau des extensions via l’admin WordPress.

Les 4 principales vulnérabilités de sécurité WordPress

Selon le rapport émis par Wordfence en 2020, ce sont près de 4,3 milliards de failles exploitées sur des sites WordPress à partir de 9,7 millions d’adresses IP uniques bloquées. Les tentatives de connexion malveillantes sont les vulnérabilités qui ont le plus ciblé le CMS, comprenant des attaques de credential stuffing utilisant des listes d’informations d’identification volées, des attaques par dictionnaire et des tentatives de connexion Brute-Force.

  • Backdoors : cette vulnérabilité WordPress cryptées apparait de manière légitime dans les fichiers systèmes. Pour accéder aux administrations des sites web, les pirates passent par des passages cachés en contournant le cryptage de sécurité via des méthodes anormales – wp-admin, SFTP, FTP, etc. Les Backdoors intègrent les bases de données WordPress en exploitant les faiblesses et les bugs des versions obsolètes de la plateforme.
  • Pharma Hacks : Insertion d’un code malhonnête dans les versions obsolètes des sites web et extensions WordPress, ce qui amène les moteurs de recherche à retourner les annonces de produits pharmaceutiques lorsqu’un site web compromis est recherché.
  • Tentatives de connexion par Brute-force : utilise des scripts automatisés pour exploiter les mots de passe faibles et accéder à votre site. L’authentification sécurisée en 2 étapes, la surveillance des connexions non autorisées, le blocage des adresses IP et l’utilisation de mots de passe forts sont les moyens les plus simples et les plus efficaces pour contrer les attaques par force brute.
  • Redirections Malveillantes : Les tentatives de connexion malveillantes représentent la faille de sécurité la plus exploitée sur des sites WordPress en 2020. Elles créent des portes dérobées dans les installations WordPress par l’utilisation FTP, SFTP, wp-admin et injectent des codes de redirection dans le site, souvent intégrer dans votre fichier .htaccess sous forme de code, dirigeant le trafic Web vers des sites malveillants.

Lectures supplémentaires WordPress.org