La sécurité WordPress par Boite A Web

Publié le 30 septembre 2010 par 4h18

La sécurité sur WordPress, un sujet de plus en plus abordé. Ce n’est pas illogique quand on sait la place occupée par notre CMS favoris dans le petit monde du web. Mais la sécurité ? C’est quoi, comment ça marche, comme peut-on se protéger ? Bon nombre de question que vous reste souvent sur les bras.Je vous invite donc à lire et découvrir Julio, fondateur de Boite A Web, premier site français à tester et vérifier la sécurité des plugins WordPress. Découverte.

Boite A Web, c’est qui, c’est quoi ?

BoiteaWeb c’est moi, Julio Potier, 30 ans. Je me suis d’abord orienté vers la comptabilité, puis après 5ans d’études, je me suis réorienté sur des études en Maintenance et Services Micro-informatique car je ne faisais pas assez d’info en compta. Depuis 1998 je suis sur le web, depuis 2000 je bidouille (to hack en anglais).

J’ai lancé mon site perso tout moche en 2002 chez ifrance avant de passer chez free en 2004 (http://diabloporc.free.fr toujours up, 8eme et dernière version du site, à découvrir http://diabloporc.free.fr/hackchallenge/)

Depuis 2002 donc je bidouille un peu tout, je m’amuse à modifier des formulaires, à trouver des liens que je ne devrais pas, j’utilisais déjà Google depuis la beta pour trouver tout et rien sur tout et rien. C’est ça qui m’a donné envie de continuer à chercher des failles, avertir les utilisateurs, les auteurs.

L’idée de boite à web te vient d’ou ?

C’est très récent c’est en juin 2010 que je suis devenu auto entrepreneur en me lançant et dans la création web 2.0 (ajax/jquery/CMS WordPress 3+) et sécurisation web (audit de sécurité web) l’idée est simple : quand je surf j’ai la fâcheuse tendance à m’amuser avec l’url, je test quelques dossiers (/admin /test) et quelquefois on tombe sur des informations qui peuvent être dangereux pour la sécurité (j’ai des milliers d’anecdotes).

La sécurité sur WordPress, un nouvel enjeu

Je me suis dit « et pourquoi pas en faire mon métier ». Je me suis donc auto-formé à la sécurité web, j’ai lu beaucoup, et appris beaucoup. Je continue à bidouiller tout ce qui me passe entre les mains tous les jours. Aussi je crée du contenu web depuis 2002, j’aide beaucoup de sites, mais j’ai eu envie d’en vivre aussi. Pour le moment je suis Analyste Programmeur Delphi 7 en CDI chez le n°1 du progiciel dédié au secteur de la distribution.

Pour une personne qui débute sur WordPress, la sécurité est une notion abstraite, pourrais tu expliquer quelles sont les risques encourus ?

Je vais parler pour une personne qui installe elle même un WordPress depuis le zip du site officiel. Mais on va devoir résumer car sur WordPress, autant c’est très bien codé, autant il faut bien sécuriser tout de même.

Déjà, toujours prendre WordPress depuis le site officiel, jamais d’ailleurs c’est primordial ! Pourquoi ? Car des pirates ont peut-être inséré du code malicieux dans certaines pages, ce code peut permettre de leur donner un accès au site en admin ou un accès complet à la BDD. Il faut aussi toujours se tenir à jour car WordPress corrige des failles (rarement mais ça arrive).

Il faut aussi respecter les règles habituelles : mettre un bon mot de passe compliqué et long (voir http://www.boiteaweb.fr/blog/outils-generateur-de-mots-de-passe-securises-et-testeur-de-robustesse-894.html) et ne pas s’appeler « ADMIN » ni y mettre son prénom (trop simple).

Il faut savoir que même dans un plugin très connu, répandu, utilisé, téléchargé maintes et maintes fois, il peut y avoir une faille

En ce qui concerne les plugins, qu’en est-il ?

En installant un plugin on a une fâcheuse tendance à faire confiance à son créateur et/ou à la provenance du plugin, c’est a dire le site officiel des plugins. Néanmoins personne ne vérifie ces plugins côté sécurité. Qu’en est-il alors ? On y trouve donc des failles courantes comme Info Disclosure, XSS, SQLi, CSRF…

Par exemple c’est quoi une faille CSRF ?

Pour pouvoir lire l'intégralité de cet article, veuillez vous abonner, gratuitement à 4h18.com. Vous aurez ainsi un accès libre et illimité à l'ensemble du contenu de ce site.