Jouer à Whack-a-Mole avec WordPress Security

Sécuriser un site Web de nos jours (même petit) devient de plus en plus difficile. Et si vous utilisez WordPress, vous pourriez aussi bien avoir une grosse vieille cible sur le dos. Entre les personnes néfastes et les bots implacables, chaque minute de chaque jour est devenue un champ de bataille.

La partie vraiment étonnante de cela est que vous pouvez à peu près faire toutes les bonnes choses et vous retrouver quand même avec un site piraté. Allez-y et gardez vos plugins et votre thème à jour. Exécutez un plugin de sécurité ou mettez en place d'autres barrières à l'entrée. Faites tout cela et vous pourriez encore vous retrouver dans une position compromise.

Tout récemment, j'ai découvert ce fait difficile par moi-même. J'ai aidé un collègue avec un site qui faisait face à de nombreux problèmes - malgré notre pensée que nous faisions les choses de la « bonne manière ». Cela m'a inspiré à m'asseoir et à réfléchir à l'expérience. Sur ce, voici quelques réflexions sur ce que j'ai appris et quelques théories sur les étapes supplémentaires que nous pouvons suivre pour mieux sécuriser un site Web WordPress.

Le passé peut vous hanter

Le noyau, les plugins et les thèmes de WordPress ont tous leurs propres failles de sécurité. Le noyau est généralement corrigé rapidement, alors que vous espérez et priez pour que les plugins et les thèmes reçoivent le même type de traitement. Mais comme nous l'avons vu, boucher les trous ne suffit pas toujours.

Si votre site a été construit il y a quelques années, vous avez peut-être été sujet à des vulnérabilités dont vous n'aviez même pas connaissance. Peut-être qu'ils ont été patchés… ou peut-être pas. Même si le problème a été résolu, votre site peut très bien avoir été exposé pendant un certain temps jusqu'à ce que vous installiez un correctif ou que vous supprimiez complètement un élément. Que s'est-il passé entre temps ? Vous ne le saurez peut-être pas avant un certain temps.

Par exemple, en parcourant ce site troublé que j'ai mentionné plus tôt, des fichiers malveillants ont été trouvés dans le répertoire /wp-includes/. Chacun était des fichiers .php qui imitaient le nom et la date de modification d'autres fichiers légitimes dans ce répertoire. Maintenant, il est possible que les fichiers aient été en quelque sorte antidatés pour donner l'impression qu'ils étaient là depuis le début. Mais en prenant les choses au pied de la lettre, il semblerait que nous ayons eu un cas de malware dormant. Tout comme un virus informatique qui délivre une charge utile à une date et une heure précises, ce code malveillant peut avoir « reçu l'appel » pour passer à l'action.

Le fait est que le fait d'avoir potentiellement le mauvais plugin installé au mauvais moment peut vous donner des maux de tête dans le futur. Rester à jour est une excellente stratégie, mais ce n'est pas infaillible. Le simple fait de voir la poignée de plugins distribuant intentionnellement du code malveillant récemment montre que vous êtes dans un piège.

Un paysage en constante évolution

Si on me le demandait, je pense que beaucoup d'entre nous diraient que nous sommes meilleurs dans notre travail aujourd'hui que nous ne l'étions il y a encore quelques années. Nous apprenons, évoluons et appliquons ces nouvelles connaissances à notre travail. Ainsi, nos choix lors de la construction d'un site Web évoluent également. Les outils et les techniques que nous utilisons sont rarement les mêmes année après année.

WordPress et son écosystème suivent ce même processus, mais à un rythme beaucoup plus rapide. Le plugin incontournable d'hier peut se transformer en poussière demain. Une seule mise à jour maladroite peut renvoyer les utilisateurs en masse.

Ainsi, un site que vous avez créé il y a quelques années et que vous avez confié à un client pourrait bien exécuter des plugins que vous ne penseriez pas utiliser aujourd'hui. Comme le dit le vieil adage : « Loin des yeux, loin du cœur ».

Il faut une certaine vigilance pour s'assurer que vous n'utilisez pas seulement les dernières versions, mais aussi que vous remplacez les éléments qui ne sont plus le meilleur choix. Malheureusement, ce type d'attention constante n'est pas toujours pratique pour de nombreux designers. Nous n'avons pas toujours le temps et les clients n'ont pas toujours le budget à consacrer à cela. Sans oublier le fait que le remplacement d'un plugin peut être une entreprise assez importante dans certains cas. Un thème peut être encore plus difficile.

En réalité, tout cela ressemble à un jeu géant de whack-a-mole. Parfois, il semble que votre seule défense soit de vous tenir prêt avec un maillet à la main, prêt à frapper la prochaine créature qui apparaît. Il doit y avoir un meilleur moyen.

Que pouvons-nous faire de plus ?

Nous appliquons donc régulièrement des mises à jour et mettons en place des mesures de sécurité supplémentaires. Nous utilisons des mots de passe forts et essayons de rendre l'accès non autorisé à notre site aussi difficile que possible. Pourtant, nous sommes toujours confrontés à des attaques constantes, dont certaines réussissent.

J'avoue que je ne suis pas le plus grand spécialiste de la sécurité. Mais j'ai quelques réflexions sur d'autres mesures que nous pouvons prendre pour garder nos sites exempts de logiciels malveillants et autres. Peut-être que certains sont un peu farfelus, mais mon espoir est de susciter la discussion plutôt que de sauver toute l'humanité.

Audits des plugins
C'est quelque chose que nous pouvons régulièrement faire nous-mêmes et facturer aux clients. L'idée est de vérifier régulièrement (peut-être 2 à 3 fois par an) quels plugins sont installés et d'éliminer ceux qui pourraient poser problème. Recherchez les plugins considérés comme abandonnés (sans mise à jour pendant au moins deux ans) ou supprimés du référentiel de plugins WordPress. Ensuite, faites des remplacements si nécessaire.

Accès à de meilleures informations
Encore mieux serait un service à grande échelle qui nous tient informés des plugins anciens/malveillants/supprimés. Les développeurs et les propriétaires de sites pourraient grandement bénéficier d'avoir ce type de ressource à portée de main. Le simple fait de savoir ce qui se passe dans l'écosystème WordPress peut nous aider à éviter d'autres problèmes.

Prendre des décisions plus sages
Nous prenons souvent ce que nous pensons être les meilleures décisions à ce moment précis. Mais nous pouvons faire mieux. Par exemple, choisir un plugin consiste souvent à trouver la solution la plus rapide à un problème. Mais la solution la plus rapide n'est pas toujours la meilleure. La vérification des plugins pour leur qualité devrait être tout aussi importante que leur fonctionnalité. Nous n'y parviendrons pas toujours correctement, mais consulter les journaux des modifications et les forums d'assistance peut être d'une grande aide pour prendre des décisions.

Comprendre le jeu
Lorsque nous lançons un site fraîchement construit, cela ne signifie pas que notre travail est terminé. Pour assurer la sécurité, nous devons continuer à prêter attention à ce qui se passe. Une partie de cela peut être l'utilisation de plugins de sécurité automatisés qui nous envoient un e-mail lorsque quelque chose ne va pas. Mais il s'agit aussi de jeter un coup d'œil manuel de temps en temps. Passez en revue le tableau de bord WordPress et parcourez également la structure de fichiers du site pour rechercher tout élément suspect.

Hébergement proactif
J'aimerais penser que la plupart des hébergeurs Web font de la sécurité une priorité absolue. Mais cela ne signifie pas qu'il n'y a pas de place pour l'amélioration. D'après ma propre expérience, il semble que les hôtes réagissent souvent aux problèmes après qu'ils se soient produits. Je pense que nous pourrions bénéficier d'hébergeurs plus proactifs dans leur approche de la sécurité. Par exemple, alerter les clients des informations concernant les dernières menaces de sécurité et comment renforcer votre site contre elles.

Former les clients
Enfin, il est important de former les clients sur les choses à faire et à ne pas faire avec WordPress. S'ils accèdent à l'arrière-plan du site, ils doivent connaître les risques potentiels liés à l'installation de plug-ins ou à la communication des informations de leur compte à d'autres. Ils ont un grand rôle à jouer pour assurer la sécurité de leur propre site.

Toujours une cible

WordPress est si largement utilisé qu'il n'est pas étonnant qu'il soit devenu une cible pour les pirates. Malheureusement, c'est quelque chose qui accompagne tout ce grand succès.

Pour cette raison, nous devons tous améliorer nos pratiques de sécurité. Idéalement, cela signifie des vérifications régulières du site et, surtout, un accès aux informations critiques. La connaissance est la clé de tout défi. Sans cela, nous serons à jamais coincés à jouer à ce jeu de carnaval.