Le comparatif sécurité qui trolle

Lanceur d’alerte sans concession

En cher­chant des avis sur Secu­press, le dernier né de l’équipe fran­çaise WP Media qui a créé le très rentable WP Rocket, je suis tombé sur le site de Rémy Durual qui se présente comme "Consul­tant spécia­li­sé en sécu­ri­té des réseaux et systèmes".
Suite au pira­tage du Word­Press de sa fille, il décide de tester toutes les exten­sions de sécu­ri­té (enfin, celles qui sont vrai­ment utili­sées). Ses tests sont sans appel. Que ce soit Word­fence, ITheme Secu­ri­ty ou le petit dernier Secu­press, ils sont tous défi­cients face à des attaques basiques – sauf un.

comparatif-securite-wordpress-00

La vérité vraie

Je suis toujours perplexe quand je lis que Word­Press est une passoire niveau sécu­ri­té puisque, si c’était le cas, plus de la moitié des sites tour­nants sous Word­Press seraient pira­tés. En réali­té, le moteur est mis à jour auto­ma­ti­que­ment dès que des failles sont décou­vertes (au grand déses­poir de certains utili­sa­teurs). Les vraies faiblesses du moteur CMS se situent au niveau des thèmes et exten­sions qui ne béné­fi­cient pas toujours de l’expertise nécessaire.
Les sites Word­Press sont aussi la cible de nombreuses attaques force brute qui sniffent les éven­tuelles faiblesses de votre instal­la­tion (ça peut aller jusqu’à des failles au niveau de votre héber­ge­ment) et cherchent à devi­ner vos iden­ti­fiants et mots de passe. D’où l’existence d’extensions char­gées de bloquer ce genre de compor­te­ment et, par là même, de soula­ger votre WordPress.

Les tests de Rémy Durual partent donc sur un étrange postu­lat. En cher­chant à démon­trer que les exten­sions de sécu­ri­té ne font pas leur boulot, il donne à penser que Word­Press serait lui-même faible. Or il ne dit rien du tout sur l’efficacité de ses attaques sur une instal­la­tion Word­Press basique.

comparatif-securite-wordpress-01

Ma méthodologie à moi

Puisque je n’y connais que pouic à ces problèmes de sécu­ri­té, j’ai essayé d’en savoir plus sur la philo­so­phie des tests et son auteur. J’ai essayé de le contac­ter via son formu­laire et les commen­taires. Je n’ai pas eu de réponse dans le premier cas et les commen­taires semblent systé­ma­ti­que­ment suppri­més dans le second. Impos­sible donc de savoir s’il avait contac­té les déve­lop­peurs des exten­sions en ques­tion pour leur faire part de ses conclu­sions, le compor­te­ment atten­du d’un codeur respon­sable dans ce genre de cas de figure. De plus, impos­sible de trou­ver la moindre trace claire sur le Web d’un Rémy Durual spécia­liste en sécu­ri­té informatique.
Enfin, les program­meurs incri­mi­nés sont aussi pour la plupart des spécia­listes de la sécu­ri­té et j’ai un peu de mal à croire qu’ils aient négli­gés des attaques basiques.

comparatif-securite-wordpress-03

Et le gagnant est

Seul Ninja Fire­wall passe les tests mais sa philo­so­phie est très diffé­rente de ses concur­rents. C’est un pare-feu géné­rique qui est en grande partie indé­pen­dant de Word­Press et cela pour­rait expli­quer la diffé­rence dans les résultats.

Quoiqu’il en soit, si vous avez des compé­tences en la matière et des commen­taires construc­tifs à faire, je me ferai un plai­sir de complé­ter cet article.
Retrou­vez l’article origi­nal et l’ensemble des tests ici https://​remy​du​rual​.word​press​.com/​2​0​1​6​/​1​1​/​0​8​/​c​o​m​p​a​r​a​t​i​f​s​-​e​x​t​e​n​s​i​o​n​s​-​d​e​-​s​e​c​u​r​i​t​e​-​p​o​u​r​-​w​o​r​d​p​r​e​ss/.

Quelques heures après la publi­ca­tion de mon article, Rémy Durual reti­rait son texte en se plai­gnant des réac­tions de la commu­nau­té Word­Press. Une réac­tion plutôt éton­nante puisque si ses tests ont la moindre vali­di­té, il aurait pu les défendre avec le soutien de l’ensemble des spécia­listes de la sécu­ri­té. J’espère que j’aurais des commen­taires éclaircissants.

If you have found a spel­ling error, please, noti­fy us by selec­ting that text and pres­sing Ctrl+Enter.

15 commentaires

  1. J’ai bien peur d’être le respon­sable de ce retrait puisque hier soir l’article était en ligne.J’ai d’ailleurs corri­gé mon article pour que les images soient visibles en grand.

    • Oui, un site créé pour l’occasion. Mais c’est du trol­lage un peu stupide puisqu’il refuse la discus­sion – alors que les trolls adorent avoir le senti­ment d’être au centre du monde.

  2. Je ne pense pas à du troll mais à des tests foireux et sans fondement !

    J'ai pu lire l'article ce matin, pas pensé à faire des captures car j'aurais bien aimé tester ses commandes curls…

    Bref, l'attitude du pseu­do expert en sécu­ri­té est assez étrange…

  3. Concer­nant la sécu­ri­té, c'est un vaste débat. Des exten­sions sont certes plus effi­caces les unes que les autres, mais malheu­reu­se­ment, je ne pense pas que l'outil parfait existe. Chacune des solu­tions exis­tantes a ses forces et ses faiblesses. Il va falloir que je découvre Ninja Firewall.

    Dommage que l'article cité ne soit plus en ligne.

  4. Bonjour

    Pour ma part j'utilise Hide My WP en plus de iTheme Secu­ri­ty (il intègre un fire­wall ma foi plutôt effi­cace, mais je ne suis pas un spécia­liste de la sécu­ri­té pour savoir s'il passe ces tests ou pas…)

    Le gros avan­tage est qu'il obfusque le code HTML géné­ré et masque de facto les foot­prints propres à Word­Press : ça évite déjà les attaques de type bot les plus génériques.

    Incon­vé­nient : il est payant.

    • Ah oui, c’est un sacré incon­vé­nient. Cacher les foot­prints WP me parait assez inutile si vous êtes à jour et de toute manière les robots sont des lourds qui testent tout, WP ou pas.

      • Oui c'est pas faux pour les robots mdr, je le vois bien :-)

        Quoi qu'il en soit son fire­wall est très effi­cace, il ne laisse rien passer, permet de bannir par adresse IP et même par pays (nb : pour cette seconde fonc­tion­na­li­té, décon­seillé sur les sites à gros trafic… ce n'est pas mon cas mdr)

        Je vais tester Ninja Firewall :-)

  5. Sécu­ri­ser son site, c’est bien, mais cela ne suffit pas ! Il faut égale­ment adop­ter un compor­te­ment respon­sable en suivant quelques règles de base comme les mises à jour, utili­ser iden­ti­fiant et mot de passe suffi­sam­ment complexes et donner le moins d’informations possible suscep­tibles de faci­li­ter la tâche aux pirates.

  6. Bon article, même si je me place pas dans les "Pro-Word­Press" (si tant est, qu'il y ait des clans, ce qui serait con, soi-dit en passant). Je relè­ve­rais tout de même que ques­tion sécu­ri­té Word­Press souffre d'une autre grosse "faiblesse" (qui est aussi sa force): sa popularité

    C'est le CMS le plus employé au monde (je crois qu'il dépasse les 55%, à véri­fier), du coup, il devient une cible de choix.

    Beau­coup se prétendent spécia­listes, mais ne font qu'employer des modules/​plugins/​theme externes, sans jamais mettre la main dans le cambouis. Et cela donne aux clients une fausse impres­sion de profes­sion­na­lisme et du coup, de sécurité.

    La pléthore de plugins/​etc. que l'on peut trou­ver dans une install "stan­dard" Word­Press m'a souvent fait peur : quid de la sécu­ri­té de ceux-ci (comme vous le faite très juste­ment remar­quer)? Quid des dépen­dances externes et de la dette tech­nique que cela peut engendrer ?

    voilà, ce n'était que mon avis
    oui, je sais OSEF

    • Du fait que ce soit le CMS le plus popu­laire en fait aussi le plus surveillé. Les exten­sions et thèmes postés sur le dépôt passent par des tests auto­ma­ti­sés de scan de code. Si ils présentent des failles, ils sont reti­rés du dépôt. Des inter­ve­nants exté­rieurs véri­fient aussi la sécu­ri­té des exten­sions les plus popu­laires (c’est carré­ment leur boulot pour certains) et WP a déjà forcé la mise à jour d’extensions très utili­sées qui présen­taient une faille importante.

      Les risques concer­nant les failles possibles sur l’ensemble des thèmes et exten­sions sont en fait à rela­ti­vi­ser : les pirates ne ciblent que les exten­sions les plus popu­laires qui ont eu des failles connues (en géné­ral patchées quand ça se sait). Personne ne va s’amuser à tenter de scan­ner une exten­sion instal­lée chez 100 indi­vi­dus. Les sites pira­tés sont donc ceux qui ont été lais­sés à l’abandon sans comp­ter les raisons exté­rieures (suivant une enquête très sérieuse, plus de 30% des sites WP pira­tés l’ont été pour cause de lacune de sécu­ri­té au niveau de l’hébergement).

      Dans ces condi­tions, une instal­la­tion de sécu­ri­té et des mises à jour suivies sécu­risent effi­ca­ce­ment WP. J’ai moi-même des dizaines d’extensions qui tournent sur plusieurs sites et je n’ai jamais été pira­té en plus de dix ans de WP.

      Ces dernières années, les failles les plus exploi­tées que j’ai croi­sées portaient sur un script externe (le terrible TimThumb) et une exten­sion payante (RevoS­li­der) externe au dépôt (comme elle était offerte avec beau­coup de thèmes payants, les utili­sa­teurs ne pensaient pas à la mettre à jour manuellement).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.

Ce site embarque des cookies pour vous offrir la meilleur expérience possible

Spelling error report

The following text will be sent to our editors: