Le comparatif sécurité qui trolle

Lanceur d’alerte sans concession

En cherchant des avis sur Secupress, le dernier né de l’équipe française WP Media qui a créé le très rentable WP Rocket, je suis tombé sur le site de Rémy Durual qui se présente comme « Consultant spécialisé en sécurité des réseaux et systèmes ».
Suite au piratage du WordPress de sa fille, il décide de tester toutes les extensions de sécurité (enfin, celles qui sont vraiment utilisées). Ses tests sont sans appel. Que ce soit Wordfence, ITheme Security ou le petit dernier Secupress, ils sont tous déficients face à des attaques basiques – sauf un.

comparatif-securite-wordpress-00

La vérité vraie

Je suis toujours perplexe quand je lis que WordPress est une passoire niveau sécurité puisque, si c’était le cas, plus de la moitié des sites tournants sous WordPress seraient piratés. En réalité, le moteur est mis à jour automatiquement dès que des failles sont découvertes (au grand désespoir de certains utilisateurs). Les vraies faiblesses du moteur CMS se situent au niveau des thèmes et extensions qui ne bénéficient pas toujours de l’expertise nécessaire.
Les sites WordPress sont aussi la cible de nombreuses attaques force brute qui sniffent les éventuelles faiblesses de votre installation (ça peut aller jusqu’à des failles au niveau de votre hébergement) et cherchent à deviner vos identifiants et mots de passe. D’où l’existence d’extensions chargées de bloquer ce genre de comportement et, par là même, de soulager votre WordPress.

Les tests de Rémy Durual partent donc sur un étrange postulat. En cherchant à démontrer que les extensions de sécurité ne font pas leur boulot, il donne à penser que WordPress serait lui-même faible. Or il ne dit rien du tout sur l’efficacité de ses attaques sur une installation WordPress basique.

comparatif-securite-wordpress-01

Ma méthodologie à moi

Puisque je n’y connais que pouic à ces problèmes de sécurité, j’ai essayé d’en savoir plus sur la philosophie des tests et son auteur. J’ai essayé de le contacter via son formulaire et les commentaires. Je n’ai pas eu de réponse dans le premier cas et les commentaires semblent systématiquement supprimés dans le second. Impossible donc de savoir s’il avait contacté les développeurs des extensions en question pour leur faire part de ses conclusions, le comportement attendu d’un codeur responsable dans ce genre de cas de figure. De plus, impossible de trouver la moindre trace claire sur le Web d’un Rémy Durual spécialiste en sécurité informatique.
Enfin, les programmeurs incriminés sont aussi pour la plupart des spécialistes de la sécurité et j’ai un peu de mal à croire qu’ils aient négligés des attaques basiques.

comparatif-securite-wordpress-03

Et le gagnant est

Seul Ninja Firewall passe les tests mais sa philosophie est très différente de ses concurrents. C’est un pare-feu générique qui est en grande partie indépendant de WordPress et cela pourrait expliquer la différence dans les résultats.

Quoiqu’il en soit, si vous avez des compétences en la matière et des commentaires constructifs à faire, je me ferai un plaisir de compléter cet article.
Retrouvez l’article original et l’ensemble des tests ici https://remydurual.wordpress.com/2016/11/08/comparatifs-extensions-de-securite-pour-wordpress/.

Quelques heures après la publication de mon article, Rémy Durual retirait son texte en se plaignant des réactions de la communauté WordPress. Une réaction plutôt étonnante puisque si ses tests ont la moindre validité, il aurait pu les défendre avec le soutien de l’ensemble des spécialistes de la sécurité. J’espère que j’aurais des commentaires éclaircissants.

Partagez

Si vous avez trouvé une faute d’orthographe, informez-nous en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée s’il vous plaît,.

13 réponses

  1. Mat dit :

    L’article original a été supprimé par son auteur.. :-(

  2. Li-An Li-An dit :

    J’ai bien peur d’être le responsable de ce retrait puisque hier soir l’article était en ligne.J’ai d’ailleurs corrigé mon article pour que les images soient visibles en grand.

  3. Mat dit :

    ce qui est bizarre, c’est un blog avec un seul article polémique. Ça sent fortement le troll quand même..

    • Li-An Li-An dit :

      Oui, un site créé pour l’occasion. Mais c’est du trollage un peu stupide puisqu’il refuse la discussion – alors que les trolls adorent avoir le sentiment d’être au centre du monde.

  4. Fabrice dit :

    Je ne pense pas à du troll mais à des tests foireux et sans fondement !

    J’ai pu lire l’article ce matin, pas pensé à faire des captures car j’aurais bien aimé tester ses commandes curls…

    Bref, l’attitude du pseudo expert en sécurité est assez étrange…

  5. Jérôme dit :

    Concernant la sécurité, c’est un vaste débat. Des extensions sont certes plus efficaces les unes que les autres, mais malheureusement, je ne pense pas que l’outil parfait existe. Chacune des solutions existantes a ses forces et ses faiblesses. Il va falloir que je découvre Ninja Firewall.

    Dommage que l’article cité ne soit plus en ligne.

  6. Cédric dit :

    Bonjour

    Pour ma part j’utilise Hide My WP en plus de iTheme Security (il intègre un firewall ma foi plutôt efficace, mais je ne suis pas un spécialiste de la sécurité pour savoir s’il passe ces tests ou pas…)

    Le gros avantage est qu’il obfusque le code HTML généré et masque de facto les footprints propres à WordPress : ça évite déjà les attaques de type bot les plus génériques.

    Inconvénient : il est payant.

    • Li-An Li-An dit :

      Ah oui, c’est un sacré inconvénient. Cacher les footprints WP me parait assez inutile si vous êtes à jour et de toute manière les robots sont des lourds qui testent tout, WP ou pas.

      • Cédric dit :

        Oui c’est pas faux pour les robots mdr, je le vois bien :-)

        Quoi qu’il en soit son firewall est très efficace, il ne laisse rien passer, permet de bannir par adresse IP et même par pays (nb : pour cette seconde fonctionnalité, déconseillé sur les sites à gros trafic… ce n’est pas mon cas mdr)

        Je vais tester Ninja Firewall :-)

  7. Bruno dit :

    Sécuriser son site, c’est bien, mais cela ne suffit pas ! Il faut également adopter un comportement responsable en suivant quelques règles de base comme les mises à jour, utiliser identifiant et mot de passe suffisamment complexes et donner le moins d’informations possible susceptibles de faciliter la tâche aux pirates.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.

Vous pouvez utiliser Markdown pour les commentaires

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :