Wordpress: les dangers à éviter

Des périls guettent votre site Internet : bugs, widgets défaillants, hacks... Comment faire face?

Wordpress est à ce jour l'un des meilleurs CMS open source pour le blogging. Il dispose d'une communauté de développement du noyau très active composée d'environ 250 développeurs à travers le monde. De très nombreux modules et extensions, permettant de répondre à une multitude de besoins, y sont disponibles. Fort de ses atouts, Wordpress représente une des plus larges communautés de sites sur le web. Malgré ces attraits importants, Wordpress n'est pas exempt de défauts.

Beaucoup de ces modules et extensions sont mal, voire pas du tout maintenu(e)s, et à chaque nouvelle mise à jour du moteur, des problèmes de rétrocompatibilité apparaissent, c'est à dire que lorsque le noyau est mis à jour, certains modules ne fonctionnent plus. On peut être tenté de se dire que, dans le doute, on peut rester sur une version plus ancienne, puisque les modules intégrés fonctionnent... Or, ces mises à jour sont souvent essentielles à la sécurité de votre site web: comme tout projet open source à succès, wordpress souffre de failles de sécurité liées à une très forte utilisation sur la toile, ce qui en fait une cible de choix pour les hackers.

remarque: selon certains, le fait que le code soit librement accessible contribue à cette dynamique, bien que cela permette d'un autre coté à la communauté d'améliorer le système de gestion de contenus et de combler les failles de sécurité au rythme des mises à jour. 

Au studio, nous avons eu l'exemple d'un site propulsé sur wordpress et en place depuis 2 ans, qui n'avait pas fait appel à notre service de mise à jour, une attaque XSS (cross-site-scripting) avait toutes les chances de réussir... et a pu contaminer les autres sites présents sur le même serveur d'hébergement, tournant pourtant sur des versions à jour de systèmes de gestion de contenus différents! Les navigateurs avertissaient le visiteur de la présence de fichiers malveillants sur les sites qu'ils essayaient de contacter... Pour la petite histoire, nous avons heureusement pu régler le problème dans l'heure. 

Quelles leçons tirer de cette expérience? Voici nos préconisations (pour vous ou votre agence web) pour limiter les risques de non-rétrocompatibilité et satisfaire certaines exigences de sécurité:

  • faites le choix d'un CMS conforme à vos besoins: pas un Wordpress pour du e-commerce, pas un Magento pour du blogging.
  • n'utilisez que les modules strictement nécessaire à votre site. évitez l'utilisation de modules (et extensions) exotiques, peu maintenus ou en trop grand nombre.
  • assurez-vous que le CMS utilisé est bien maintenu par ses concepteurs ou par une communauté open source. 
  • faites régulièrement les mises à jour du CMS, qui corrigent rapidement les failles de sécurité connues.
  • utilisez une stratégie de sauvegarde efficace: une sauvegarde au minimum quotidienne est préférable pour un site professionnel non-marchand
  • affinez les stratégies d'accès: contrôlez les personnes qui ont accès à l'espace d'administration de votre site.
saki-studio-wordpress

Enfin sans vouloir alimenter la psychose, il est important de préciser que même avec des mises à jour régulières et une utilisation parcimonieuse d'extensions bien maintenues, en termes de hack, le risque zéro n'existe pas... Précisons que certaines configurations d'hébergement (le cloud computing par exemple) peuvent empécher une contamination en cascade en cas d'attaque.

C'était votre reporter Saki, à vous les studios, n'hésitez pas à nous contacter pour nous faire partager vos avis, expériences et bonnes pratiques!