WordPress est secure ! Il n’a pas de faille de sécurité connue à ce jour… Nous avons coutume de dire que le problème se situe entre la chaise et l’écran, et sous WordPress c’est en général les plugins qui rendent friable le CMS !
Le vrai problème de sécurité WordPress, c’est nous et tous les plugins que nous installons…
La première des choses à faire pour éviter d’exposer WordPress aux failles, c’est de s’assurer que tous nos plugins et thèmes soient à jour. Mais est-ce suffisant ?
Mettre à jour ses plugins automatiquement ?
Pour mettre à jour automatiquement ses plugins, il y a déjà Jetpack. En effet, ce dernier propose un module de mise à jour automatique.
Vous pouvez également déclarer la mise à jour automatique via votre WordPress. Pour l’activer sur les plugins et les thèmes, il suffit d’insérer les lignes suivantes dans le fichier functions.php présent à la racine de votre thème :
add_filter( 'auto_update_plugin', '__return_true' ); // Plugins add_filter( 'auto_update_theme', '__return_true' ); // Thèmes
Quels sont les plugins avec des failles ?
Problème ! Certains plugins contiennent des failles et ne sont pas patchés. Ce qui sous entend que le plugin n’a pas de mise à jour corrigeant la faille. C’est souvent l’affaire de quelques jours mais en attendant l’extension concernée est potentiellement dangereuse…
Jusqu’à présent, seule la veille technique vous permettait de le savoir. Vous pouvez d’ailleurs suivre les comptes twitter ou les flux RSS suivants:
- @WPVuln
- @Secupress
- Flux sécurité WPServeur
- Site de WPVulndb.com
- et d’autres…
Si ces ressources sont utiles, le risque est grand de rater une faille ou de ne pas être suffisament assidu lors de sa veille technique de sécurité…
Un plugin qui vous informe des failles !
L’idéal ce serait d’être informé personnellement des plugins à risque, mieux même, de recevoir directement dans sa boite email les alertes !
Souriez, c’est chose faite avec le Plugin Security Scanner :)
Le plugin “Plugin Security Scanner” détermine si l’un de vos plugins contient des failles de sécurité connues. Pour ce faire, le plugin pioche via API dans la base de données de vulnérabilité WPScan et fait une comparaison avec vos plugins installés.
Plugin Security Scanner va lancer un scan une fois par jour, et enverra automatiquement un e-mail à l’administrateur WordPress si des plugins vulnérables sont detectés.
Le plugin ajoute également une nouvelle option dans votre menu Outils d’administration appelée «Plugin Security Scanner”. En cliquant sur ce menu, Plugin Security Scanner exécute une analyse immédiate. Si le scan détecte des problèmes, il vous affiche une liste de plugins avec vulnérabilités, ainsi qu’une description de ces dernières.
Bref, vous n’aurez plus aucune excuse pour ne pas être au courant avec ce plugin permettant d’améliorer tout simplement la sécurité de vos WordPress ! Pour aller plus loin dans la sécurisation de votre WordPress, je vous conseille les lectures suivantes :
Bien bien, l’article. Très bien même mais il oublie de mentionner un chose (et je fais un peu de pub au passage ;) : faire héberger son WP chez WPserveur.net car avec la liste des MU-plugins installés d’office sur chaque site hébergé, les mises à jour automatiques et les systèmes de sauvegarde glissantes sur 7 jours (si je ne me trompe), c’est déjà la première chose utile à faire.
Ensuite il est vrai qu’un plugin pour détecter les failles, c’est bien mais ça rajoute encore à la liste souvent longue des plugins déjà présents et qui peuvent alourdir ou ralentir un site. A moins de le désactiver et de temps en temps de le réactiver pour un scan.
Bonjour,
Merci pour l’article il est encore une fois tres intéréssant.
Je voulais savoir concernant la commande :
add_filter(‘auto_update_plugin’, ‘__return_true’);
Est-elle sans risque ? Ne doit on pas faire attentions aux compatibilité avec le core WordPress ? Peux-ton vraiment laissé un site se mettre seul à jour ?
Encore merci
@josselin c’est bien le problème !
Les auto updates à tout va c’est risqué (cf avec Woocommerce par exemple).
Voilà pourquoi, chez wpserveur nous avons créé un plugin qui permet de choisir quel plugin mettre à jour automatiquement (avec case à cocher) et à quel moment (j+2 ou j+7)
Bonjour,
Je ne comprends pas le souci avec la mise à jour automatique, le core de WordPress ?
Un site doit être maintenu à jour, donc avoir la dernière version de WP, donc un plugin qui a une mise à jour sera compatible avec la dernière version de WP, avec le core de celui ci.
N’utilisant pas WooCommerce, je ne suis pas au courant du problème.
Pourtant vous avez fait un article sur ce plugin, il ne doit pas être si mauuvais
https://wpformation.com/site-woocommerce-envers-du-decor/
Ou le souci est quand il se met à jour, si le thème n’a pas de mises à jour, il a des bugs, j’ai lu des articles là dessus.
Si oui, il faut utiliser un code pour différer la mise à jour de ce plugin
http://wabeo.fr/delai-mise-a-jour-plugins/
non ?
@noaneo Le soucis c’est la màj silencieuse, si le plugin lors de sa mise à jour plante, on risque de ne pas s’en rendre compte immédiatement. Il nous est tous arrivé de faire une màj et de nous retrouver avec une belle page blanche.
Non, tous les plugins mis à jour ne sont pas forcément compatibles avec la dernière version du core, parfois il s’agit juste de Bugfixes ou d’Enhancements! Sans compter que le Dev peut faire une erreur (Cf SEO Yoast;) et sortir un peu trop vite une màj non aboutie et truffée de bugs.
Woocommerce est un excellent plugin, toutefois ses màj majeures nécessitent très souvent que le thème soit compatible avec sa toute dernière version, sinon bugs de CSS et autres… Il faut donc s’assurer, avant de mettre à jour, que le thème soit compatible!
Bonjour,
@wpformation Oui je suis d’accord, j’ai eu le souci avec une mise à jour de WP, c’est pour ça qu’au début j’étais contre les mises à jour automatiques mais voyant le nombre de personnes qui ne font pas de mises à jour des plugins, des thèmes, de WP, je me dis qu’aumoins comme ça leurs sites sont à jour, bien sûr qu’il y a un risque mais le risque 0 n’existe pas, on peut faire une mise à jour manuelle et avoir une page blanche aussi.
SEO Yoast je le maintiens toujours à jour, sans problème et cela depuis 2, 3 ans je n’ai jamais eu de gros bugs, un plugin est fait pour WordPress, donc il est compatible, pas forcément à 100%, on peut prendre un plugin de 2003, il est compatible avec WP 4.3.
L’erreur est humaine, je n’ incriminerais pas le DEV d’un plugin d’en avoir fait.
Le souci est que beaucoup de gens ont une site ou un blog sans comprendre tout ça, surtout pour WooCommerce , que le thème doit être compatible avec la dernier version du plugin même en manuelle, ils feront l’erreur.
Je ne suis pas partisan des mises à jour automatiques mais pour certaines personnes qui n’osent pas appuyé sur un bouton dans leur tableau de bord pour mettre à jour leurs sites, pourquoi pas.
Je n’ai pas les codes pour les mises à jour automatiques, je préfères cliquer pour faire les mises à jour pour être présent et voir si tout se passe bien.
Si je devais mettre les codes alors je mettrai la condition d’être différé par prudence.
@wpformation Juste ajouter, je faisais plus l’avocat du diable dans mes commentaires.
Faisant la mise à jour de plusieurs sites, je suis contre les mises à jour automatique, cela ne me plait pas que WordPress se mettent à jour tout seul, je préférais avant, je faisais la mise à jour par FTP même pas par le tableau de bord, je trouve que c’est le plus sûr, là on voit si la mise à jour durant l’envoi se plante ou pas. je fais juste la mise à jour des plugins par le tableau de bord et avec prudence sur un site test pour voir si il y a un bug ou un souci avant de maintenir les autres sites à jour.
Très bien votre article, wp serveur à l’air très intéressant, pas contre la plus petit offre 19 € par mois HT pas pour toutes les bourses et j’aime installé WP moi même, même si je comprends que là WP est optimisé via des fichiers , j’aime avoir à 100% la main mise sur un site.
bonne continuation
Un grand merci pour la présentation de ce plugin….il marche très bien et fait partie de mes plugins standard, pour moi il est indispensable. bonne continuation !
Si ça peut aider quelqu’un, j’ai développé un plugin wordpress qui permet de détecter les fichier présents dans le wp-upload qui n’ont rien à faire là et de les supprimer.
Types de fichiers que mon plugin détecte : php, sql, js, htaccess, exe, zip, rar, czip
https://wordpress.org/plugins/scan-upload-par-jm-crea/
Enjoy :)