WordPress a beau propulser plus de 30 % des sites Internet, le principal CMS est loin d’être exempt de défauts. En particulier, il peut lui être reproché d’être une vraie passoire sur le plan sécuritaire. En 2018, le nombre de failles de sécurité l’affectant aurait d’ailleurs été multiplié par 3.
Plus de 500 vulnérabilités associées à WordPress découvertes en 2018
Si WordPress rencontre un franc succès auprès des porteurs de projets web, c’est principalement parce qu’il contribue à créer très aisément un site web professionnel (aller plus loin grâce à un logiciel sitebuilder de qualité pour créer votre site web).
Pour autant, ce CMS est loin d’être parfait. Dès 2016, une étude avait démontré que malgré les mises à jour régulières proposées par WordPress, de nombreuses failles pouvaient être exploitées par les hackers.
Deux ans plus tard, la donne a évolué mais pas nécessairement dans le bon sens… En effet, le nombre de vulnérabilités observées en 2018 dans WordPress atteint 542, soit trois fois plus qu’en 2017, selon une étude réalisée par Imperva. Les CMS concurrents, Joomla ou Drupal, s’en sortent beaucoup mieux puisque ce sont environ 150 failles « seulement » qui ont été identifiées.
Pour autant, impossible de dire que ces CMS sont mieux sécurisés que WordPress étant donné qu’il faudrait s’intéresser davantage au niveau de criticité des différentes failles pour tirer pareille conclusion.
Les plugins à l’origine des problèmes de sécurité de WordPress
L’étude menée par Imperva permet d’en savoir plus sur les origines des problèmes de sécurité connus par WordPress. Il est ainsi possible de constater que le code du CMS n’inclurait que 2 % des vulnérabilités observées.
Eh oui, la plupart d’entre elles seraient cachées dans les plugins que chaque administrateur est libre de télécharger pour doter son site web de nouvelles fonctionnalités. Par exemple, le plugin Event Calendar WD embarquerait à lui seul pas moins de 11 failles de sécurité. Fort heureusement, les plugins les plus « nocifs » sont peu téléchargés à l’exception de Ninja Forms et Duplicator Pro qui comptent tous deux plus d’un million d’installations actives…
Ce vrai problème avec les plugins WordPress n’est toutefois pas nouveau et s’explique principalement par l’absence de contrôles stricts et par le manque de mises à jour les concernant. L’open source a aussi ses inconvénients !