Le com­pa­ra­tif sécu­ri­té qui trolle

Lan­ceur d’alerte sans concession

En cher­chant des avis sur Secu­press, le der­nier né de l’équipe fran­çaise WP Media qui a créé le très ren­table WP Rocket, je suis tom­bé sur le site de Rémy Durual qui se pré­sente comme “Consul­tant spé­cia­li­sé en sécu­ri­té des réseaux et sys­tèmes”.
Suite au pira­tage du Word­Press de sa fille, il décide de tes­ter toutes les exten­sions de sécu­ri­té (enfin, celles qui sont vrai­ment uti­li­sées). Ses tests sont sans appel. Que ce soit Word­fence, ITheme Secu­ri­ty ou le petit der­nier Secu­press, ils sont tous défi­cients face à des attaques basiques – sauf un.

comparatif-securite-wordpress-00

La véri­té vraie

Je suis tou­jours per­plexe quand je lis que Word­Press est une pas­soire niveau sécu­ri­té puisque, si c’était le cas, plus de la moi­tié des sites tour­nants sous Word­Press seraient pira­tés. En réa­li­té, le moteur est mis à jour auto­ma­ti­que­ment dès que des failles sont décou­vertes (au grand déses­poir de cer­tains uti­li­sa­teurs). Les vraies fai­blesses du moteur CMS se situent au niveau des thèmes et exten­sions qui ne béné­fi­cient pas tou­jours de l’expertise nécessaire.
Les sites Word­Press sont aus­si la cible de nom­breuses attaques force brute qui sniffent les éven­tuelles fai­blesses de votre ins­tal­la­tion (ça peut aller jusqu’à des failles au niveau de votre héber­ge­ment) et cherchent à devi­ner vos iden­ti­fiants et mots de passe. D’où l’existence d’extensions char­gées de blo­quer ce genre de com­por­te­ment et, par là même, de sou­la­ger votre WordPress.

Les tests de Rémy Durual partent donc sur un étrange pos­tu­lat. En cher­chant à démon­trer que les exten­sions de sécu­ri­té ne font pas leur bou­lot, il donne à pen­ser que Word­Press serait lui-même faible. Or il ne dit rien du tout sur l’efficacité de ses attaques sur une ins­tal­la­tion Word­Press basique.

comparatif-securite-wordpress-01

Ma métho­do­lo­gie à moi

Puisque je n’y connais que pouic à ces pro­blèmes de sécu­ri­té, j’ai essayé d’en savoir plus sur la phi­lo­so­phie des tests et son auteur. J’ai essayé de le contac­ter via son for­mu­laire et les com­men­taires. Je n’ai pas eu de réponse dans le pre­mier cas et les com­men­taires semblent sys­té­ma­ti­que­ment sup­pri­més dans le second. Impos­sible donc de savoir s’il avait contac­té les déve­lop­peurs des exten­sions en ques­tion pour leur faire part de ses conclu­sions, le com­por­te­ment atten­du d’un codeur res­pon­sable dans ce genre de cas de figure. De plus, impos­sible de trou­ver la moindre trace claire sur le Web d’un Rémy Durual spé­cia­liste en sécu­ri­té informatique.
Enfin, les pro­gram­meurs incri­mi­nés sont aus­si pour la plu­part des spé­cia­listes de la sécu­ri­té et j’ai un peu de mal à croire qu’ils aient négli­gés des attaques basiques.

comparatif-securite-wordpress-03

Et le gagnant est

Seul Nin­ja Fire­wall passe les tests mais sa phi­lo­so­phie est très dif­fé­rente de ses concur­rents. C’est un pare-feu géné­rique qui est en grande par­tie indé­pen­dant de Word­Press et cela pour­rait expli­quer la dif­fé­rence dans les résultats.

Quoiqu’il en soit, si vous avez des com­pé­tences en la matière et des com­men­taires construc­tifs à faire, je me ferai un plai­sir de com­plé­ter cet article.
Retrou­vez l’article ori­gi­nal et l’ensemble des tests ici https://​remy​du​rual​.word​press​.com/​2​0​1​6​/​1​1​/​0​8​/​c​o​m​p​a​r​a​t​i​f​s​-​e​x​t​e​n​s​i​o​n​s​-​d​e​-​s​e​c​u​r​i​t​e​-​p​o​u​r​-​w​o​r​d​p​r​e​ss/.

Quelques heures après la publi­ca­tion de mon article, Rémy Durual reti­rait son texte en se plai­gnant des réac­tions de la com­mu­nau­té Word­Press. Une réac­tion plu­tôt éton­nante puisque si ses tests ont la moindre vali­di­té, il aurait pu les défendre avec le sou­tien de l’ensemble des spé­cia­listes de la sécu­ri­té. J’espère que j’aurais des com­men­taires éclaircissants.

Par­ta­gez

Si vous avez trou­vé une faute d’orthographe, infor­mez-nous en sélec­tion­nant le texte en ques­tion et en appuyant sur Ctrl + Entrée s’il vous plaît,.

13 réponses sur “ Le com­pa­ra­tif sécu­ri­té qui trolle ”
  1. J’ai bien peur d’être le res­pon­sable de ce retrait puisque hier soir l’article était en ligne.J’ai d’ailleurs cor­ri­gé mon article pour que les images soient visibles en grand.

    1. Oui, un site créé pour l’occasion. Mais c’est du trol­lage un peu stu­pide puisqu’il refuse la dis­cus­sion – alors que les trolls adorent avoir le sen­ti­ment d’être au centre du monde.

  2. Je ne pense pas à du troll mais à des tests foi­reux et sans fondement !

    J’ai pu lire l’article ce matin, pas pen­sé à faire des cap­tures car j’aurais bien aimé tes­ter ses com­mandes curls…

    Bref, l’attitude du pseu­do expert en sécu­ri­té est assez étrange…

  3. Concer­nant la sécu­ri­té, c’est un vaste débat. Des exten­sions sont certes plus effi­caces les unes que les autres, mais mal­heu­reu­se­ment, je ne pense pas que l’outil par­fait existe. Cha­cune des solu­tions exis­tantes a ses forces et ses fai­blesses. Il va fal­loir que je découvre Nin­ja Firewall.

    Dom­mage que l’article cité ne soit plus en ligne.

  4. Bon­jour

    Pour ma part j’utilise Hide My WP en plus de iTheme Secu­ri­ty (il intègre un fire­wall ma foi plu­tôt effi­cace, mais je ne suis pas un spé­cia­liste de la sécu­ri­té pour savoir s’il passe ces tests ou pas…)

    Le gros avan­tage est qu’il obfusque le code HTML géné­ré et masque de fac­to les foot­prints propres à Word­Press : ça évite déjà les attaques de type bot les plus génériques.

    Incon­vé­nient : il est payant.

    1. Ah oui, c’est un sacré incon­vé­nient. Cacher les foot­prints WP me parait assez inutile si vous êtes à jour et de toute manière les robots sont des lourds qui testent tout, WP ou pas.

      1. Oui c’est pas faux pour les robots mdr, je le vois bien :-)

        Quoi qu’il en soit son fire­wall est très effi­cace, il ne laisse rien pas­ser, per­met de ban­nir par adresse IP et même par pays (nb : pour cette seconde fonc­tion­na­li­té, décon­seillé sur les sites à gros tra­fic… ce n’est pas mon cas mdr)

        Je vais tes­ter Nin­ja Firewall :-)

  5. Sécu­ri­ser son site, c’est bien, mais cela ne suf­fit pas ! Il faut éga­le­ment adop­ter un com­por­te­ment res­pon­sable en sui­vant quelques règles de base comme les mises à jour, uti­li­ser iden­ti­fiant et mot de passe suf­fi­sam­ment com­plexes et don­ner le moins d’informations pos­sible sus­cep­tibles de faci­li­ter la tâche aux pirates.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.

Aucun support n’est fourni pour les extensions testées. Vous pouvez utiliser Markdown pour les commentaires.