La réputation de sécurité de WordPress est fréquemment mise à mal. Pourtant, c’est l’un des CMS les plus fiables du marché. C’est le mal des outils n°1 dans leur marché — comme Windows :
J’échange régulièrement avec des prospects et des DSI qui ont un a priori négatif sur la sécurité de WordPress. On ne peut pas vraiment leur en vouloir : leur veille informatique est souvent généraliste et la presse spécialisée française n’excelle pas dans ce domaine.
J’aime comparer la réputation de WordPress à celle de Microsoft Windows. Les utilisateurs de Windows sont plus susceptibles d’avoir des virus que ceux de Mac. Avec plus de 75 % de parts de marché, Windows est une cible plus attrayante pour les hackers que Mac OS ou Linux.
Plus un outil est populaire, plus il attire les attaques. Exploiter la moindre vulnérabilité permet de toucher un grand nombre d’utilisateurs avec un effort minimal.
Lundi dernier, Microsoft a (encore) communiqué sur une faille de sécurité importante.
Malgré ça, les grandes entreprises continuent d’utiliser Windows. Ils ont mis en œuvre des mesures de renforcement de la sécurité, une politique de mise à jour et tout se passe bien. C’est la même chose pour WordPress.
Pour sécuriser un site WordPress, je vois deux éléments clés :
1️⃣ Des mesures de renforcement de la sécurité pour réduire la surface d’exposition du CMS.
2️⃣ Une stratégie de maintenance claire et assumée pour appliquer les correctifs de sécurité
Votre site n’est pas terminé une fois qu’il est fonctionnel et visuellement satisfaisant. Il est essentiel d’anticiper et de mettre en place une stratégie pour la phase d’exploitation de votre projet.
Vous avez encore des doutes sur la sécurité de WordPress ? N’hésitez pas à les partager en commentaires, je me ferai un plaisir de vous donner mon point de vue.