WordPress est devenu la plateforme de développement de site Web de choix pour de nombreuses entreprises, et pour une bonne raison. WordPress permet aux développeurs non Web de créer rapidement des sites Web, des forums, des portails, des blogues attrayants et fonctionnels, et bien plus encore. La communauté des développeurs a également repris la popularité de WordPress et a créé une vaste gamme de modèles et de plugiciels permettant à n’importe qui de télécharger simplement une nouvelle apparence et d’ajouter de nouvelles fonctionnalités. En plus de cette offre incroyable, WordPress est un projet libre et gratuit!
Malheureusement, cette flexibilité presque illimitée a un coût. Lorsque les développeurs et les concepteurs ont la possibilité de créer des thèmes et des plugiciels WordPress, ils ont également beaucoup de pouvoir sur ceux qui utilisent leurs thèmes et plugiciels. Si les développeurs ne pratiquent pas de méthodes de développement de logiciels sécurisés, ils peuvent involontairement mettre les utilisateurs de leurs plugiciels ou thèmes à risque de compromettre un site Web. En même temps, les pirates informatiques développent également des plugiciels et des thèmes pour compromettre intentionnellement les sites des utilisateurs et leurs visiteurs.
Un simple site WordPress fait partie d’un système plus vaste d’ordinateurs et de réseaux. Ce système plus grand est également à risque d’attaque et doit être contrôlé pour aider à s’assurer que les pirates informatiques ne prennent pas pied.
Alors, que devons-nous faire?
Comprendre Wordpress
Avant de pouvoir discuter de la façon de sécuriser WordPress, nous devons comprendre comment WordPress fonctionne à un niveau élevé. WordPress est une série de scripts logiciels (pièces de code) écrits dans le langage de développement PHP. Le code logiciel a été écrit et mis à jour par des développeurs du monde entier depuis sa publication initiale en 2003. Ce code peut être téléchargé par n’importe qui et hébergé (ou exécuté) sur un serveur Web. WordPress utilise également une base de données pour stocker le contenu, les utilisateurs, les paramètres de configuration et tout ce qui rend WordPress formidable.
Pour résumer, pour exécuter WordPress, nous avons besoin d’un serveur Web qui peut exécuter des scripts PHP et d’une base de données pour stocker nos données. C’est assez simple, en concept.
Comprendre les risques
WordPress est généralement utilisé comme le visage de la marque de votre entreprise; c’est évidemment quelque chose qui vaut la peine d’être protégé. Au-delà de la simple gestion de la réputation, un site Web compromis peut causer de graves dommages à votre propre environnement informatique et même à celui de vos clients et invités. Compte tenu de ce que nous savons sur WordPress de la section précédente, nous pouvons commencer à examiner certains des risques spécifiques liés à l’utilisation de cette plateforme ou de toute autre plateforme de publication Web moderne. Le tableau ci-dessous résume certains des principaux domaines de risque que nous voulons minimiser en sécurisant WordPress.
Il y aura toujours un certain niveau de risque résiduel dans votre environnement, peu importe les mesures prises pour réduire ce risque. Cette série définira des façons spécifiques de réduire les domaines de risque mentionnés ici.
Aperçu de la section
Plus loin dans cette section, nous discuterons des sujets de sécurité WordPress suivants :