Lanceur d’alerte sans concession

En cher­chant des avis sur Secu­press, le dernier né de l’équipe fran­çaise WP Media qui a créé le très rentable WP Rocket, je suis tombé sur le site de Rémy Durual qui se présente comme “Consul­tant spécia­li­sé en sécu­ri­té des réseaux et systèmes”.
Suite au pira­tage du Word­Press de sa fille, il décide de tester toutes les exten­sions de sécu­ri­té (enfin, celles qui sont vrai­ment utili­sées). Ses tests sont sans appel. Que ce soit Word­fence, ITheme Secu­ri­ty ou le petit dernier Secu­press, ils sont tous défi­cients face à des attaques basiques – sauf un.

comparatif-securite-wordpress-00

La vérité vraie

Je suis toujours perplexe quand je lis que Word­Press est une passoire niveau sécu­ri­té puisque, si c’était le cas, plus de la moitié des sites tour­nants sous Word­Press seraient pira­tés. En réali­té, le moteur est mis à jour auto­ma­ti­que­ment dès que des failles sont décou­vertes (au grand déses­poir de certains utili­sa­teurs). Les vraies faiblesses du moteur CMS se situent au niveau des thèmes et exten­sions qui ne béné­fi­cient pas toujours de l’expertise néces­saire.
Les sites Word­Press sont aussi la cible de nombreuses attaques force brute qui sniffent les éven­tuelles faiblesses de votre instal­la­tion (ça peut aller jusqu’à des failles au niveau de votre héber­ge­ment) et cherchent à devi­ner vos iden­ti­fiants et mots de passe. D’où l’existence d’extensions char­gées de bloquer ce genre de compor­te­ment et, par là même, de soula­ger votre Word­Press.

Les tests de Rémy Durual partent donc sur un étrange postu­lat. En cher­chant à démon­trer que les exten­sions de sécu­ri­té ne font pas leur boulot, il donne à penser que Word­Press serait lui-même faible. Or il ne dit rien du tout sur l’efficacité de ses attaques sur une instal­la­tion Word­Press basique.

comparatif-securite-wordpress-01

Ma méthodologie à moi

Puisque je n’y connais que pouic à ces problèmes de sécu­ri­té, j’ai essayé d’en savoir plus sur la philo­so­phie des tests et son auteur. J’ai essayé de le contac­ter via son formu­laire et les commen­taires. Je n’ai pas eu de réponse dans le premier cas et les commen­taires semblent systé­ma­ti­que­ment suppri­més dans le second. Impos­sible donc de savoir s’il avait contac­té les déve­lop­peurs des exten­sions en ques­tion pour leur faire part de ses conclu­sions, le compor­te­ment atten­du d’un codeur respon­sable dans ce genre de cas de figure. De plus, impos­sible de trou­ver la moindre trace claire sur le Web d’un Rémy Durual spécia­liste en sécu­ri­té infor­ma­tique.
Enfin, les program­meurs incri­mi­nés sont aussi pour la plupart des spécia­listes de la sécu­ri­té et j’ai un peu de mal à croire qu’ils aient négli­gés des attaques basiques.

comparatif-securite-wordpress-03

Et le gagnant est

Seul Ninja Fire­wall passe les tests mais sa philo­so­phie est très diffé­rente de ses concur­rents. C’est un pare-feu géné­rique qui est en grande partie indé­pen­dant de Word­Press et cela pour­rait expli­quer la diffé­rence dans les résul­tats.

Quoiqu’il en soit, si vous avez des compé­tences en la matière et des commen­taires construc­tifs à faire, je me ferai un plai­sir de complé­ter cet article.
Retrou­vez l’article origi­nal et l’ensemble des tests ici https://​remy​du​rual​.word​press​.com/​2​0​1​6​/​1​1​/​0​8​/​c​o​m​p​a​r​a​t​i​f​s​-​e​x​t​e​n​s​i​o​n​s​-​d​e​-​s​e​c​u​r​i​t​e​-​p​o​u​r​-​w​o​r​d​p​r​e​ss/.

Quelques heures après la publi­ca­tion de mon article, Rémy Durual reti­rait son texte en se plai­gnant des réac­tions de la commu­nau­té Word­Press. Une réac­tion plutôt éton­nante puisque si ses tests ont la moindre vali­di­té, il aurait pu les défendre avec le soutien de l’ensemble des spécia­listes de la sécu­ri­té. J’espère que j’aurais des commen­taires éclair­cis­sants.

Si vous avez trou­vé une faute d’orthographe, infor­mez-nous en sélec­tion­nant le texte en ques­tion et en appuyant sur Ctrl + Entrée.

Dernière modification: 30 janvier 2017

Commentaires

Li-An

L’ar­ticle origi­nal a été suppri­mé par son auteur.. :-(

Li-An
Auteur

J’ai bien peur d’être le respon­sable de ce retrait puisque hier soir l’article était en ligne.J’ai d’ailleurs corri­gé mon article pour que les images soient visibles en grand.

Li-An

ce qui est bizarre, c’est un blog avec un seul article polé­mique. Ça sent forte­ment le troll quand même..

    Li-An
    Auteur

    Oui, un site créé pour l’occasion. Mais c’est du trol­lage un peu stupide puisqu’il refuse la discus­sion – alors que les trolls adorent avoir le senti­ment d’être au centre du monde.

Li-An

Je ne pense pas à du troll mais à des tests foireux et sans fonde­ment !

J’ai pu lire l’ar­ticle ce matin, pas pensé à faire des captures car j’au­rais bien aimé tester ses commandes curls…

Bref, l’at­ti­tude du pseu­do expert en sécu­ri­té est assez étrange…

    Li-An
    Auteur

    Je penche­rai aussi vers cette piste et on peut voir trois tests dans mon article.

Li-An

Concer­nant la sécu­ri­té, c’est un vaste débat. Des exten­sions sont certes plus effi­caces les unes que les autres, mais malheu­reu­se­ment, je ne pense pas que l’ou­til parfait existe. Chacune des solu­tions exis­tantes a ses forces et ses faiblesses. Il va falloir que je découvre Ninja Fire­wall.

Dommage que l’ar­ticle cité ne soit plus en ligne.

    Li-An
    Auteur

    En même temps, le conte­nu est résu­mé dans mes captures d’écran – il manque juste un test.

Li-An

Bonjour

Pour ma part j’uti­lise Hide My WP en plus de iTheme Secu­ri­ty (il intègre un fire­wall ma foi plutôt effi­cace, mais je ne suis pas un spécia­liste de la sécu­ri­té pour savoir s’il passe ces tests ou pas…)

Le gros avan­tage est qu’il obfusque le code HTML géné­ré et masque de facto les foot­prints propres à Word­Press : ça évite déjà les attaques de type bot les plus géné­riques.

Incon­vé­nient : il est payant.

    Li-An
    Auteur

    Ah oui, c’est un sacré incon­vé­nient. Cacher les foot­prints WP me parait assez inutile si vous êtes à jour et de toute manière les robots sont des lourds qui testent tout, WP ou pas.

      Li-An

      Oui c’est pas faux pour les robots mdr, je le vois bien :-)

      Quoi qu’il en soit son fire­wall est très effi­cace, il ne laisse rien passer, permet de bannir par adresse IP et même par pays (nb : pour cette seconde fonc­tion­na­li­té, décon­seillé sur les sites à gros trafic… ce n’est pas mon cas mdr)

      Je vais tester Ninja Fire­wall :-)

Li-An

Sécu­ri­ser son site, c’est bien, mais cela ne suffit pas ! Il faut égale­ment adop­ter un compor­te­ment respon­sable en suivant quelques règles de base comme les mises à jour, utili­ser iden­ti­fiant et mot de passe suffi­sam­ment complexes et donner le moins d’informations possible suscep­tibles de faci­li­ter la tâche aux pirates.

Li-An

Bon article, même si je me place pas dans les “Pro-Word­Press” (si tant est, qu’il y ait des clans, ce qui serait con, soi-dit en passant). Je relè­ve­rais tout de même que ques­tion sécu­ri­té Word­Press souffre d’une autre grosse “faiblesse” (qui est aussi sa force): sa popu­la­ri­té

C’est le CMS le plus employé au monde (je crois qu’il dépasse les 55%, à véri­fier), du coup, il devient une cible de choix.

Beau­coup se prétendent spécia­listes, mais ne font qu’employer des modules/​plugins/​theme externes, sans jamais mettre la main dans le cambouis. Et cela donne aux clients une fausse impres­sion de profes­sion­na­lisme et du coup, de sécu­ri­té.

La pléthore de plugins/​etc. que l’on peut trou­ver dans une install “stan­dard” Word­Press m’a souvent fait peur : quid de la sécu­ri­té de ceux-ci (comme vous le faite très juste­ment remar­quer)? Quid des dépen­dances externes et de la dette tech­nique que cela peut engen­drer ?

voilà, ce n’était que mon avis
oui, je sais OSEF

    Li-An
    Auteur

    Du fait que ce soit le CMS le plus popu­laire en fait aussi le plus surveillé. Les exten­sions et thèmes postés sur le dépôt passent par des tests auto­ma­ti­sés de scan de code. Si ils présentent des failles, ils sont reti­rés du dépôt. Des inter­ve­nants exté­rieurs véri­fient aussi la sécu­ri­té des exten­sions les plus popu­laires (c’est carré­ment leur boulot pour certains) et WP a déjà forcé la mise à jour d’extensions très utili­sées qui présen­taient une faille impor­tante.

    Les risques concer­nant les failles possibles sur l’ensemble des thèmes et exten­sions sont en fait à rela­ti­vi­ser : les pirates ne ciblent que les exten­sions les plus popu­laires qui ont eu des failles connues (en géné­ral patchées quand ça se sait). Personne ne va s’amuser à tenter de scan­ner une exten­sion instal­lée chez 100 indi­vi­dus. Les sites pira­tés sont donc ceux qui ont été lais­sés à l’abandon sans comp­ter les raisons exté­rieures (suivant une enquête très sérieuse, plus de 30% des sites WP pira­tés l’ont été pour cause de lacune de sécu­ri­té au niveau de l’hébergement).

    Dans ces condi­tions, une instal­la­tion de sécu­ri­té et des mises à jour suivies sécu­risent effi­ca­ce­ment WP. J’ai moi-même des dizaines d’extensions qui tournent sur plusieurs sites et je n’ai jamais été pira­té en plus de dix ans de WP.

    Ces dernières années, les failles les plus exploi­tées que j’ai croi­sées portaient sur un script externe (le terrible TimThumb) et une exten­sion payante (RevoS­li­der) externe au dépôt (comme elle était offerte avec beau­coup de thèmes payants, les utili­sa­teurs ne pensaient pas à la mettre à jour manuel­le­ment).

Écrire une réponse ou un commentaire

Votre adresse email ne sera pas publiée.

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.