Failles WordPress et mises à jour

WordPressWordPress est le CMS ( Content Management System) « Système de gestion de contenu » le plus utilisé de part le monde.  Le Wall Street Journal, Le Monde, et bien d’autres grands noms l’utilisent.

Le défaut de la cuirasse, c’est que le très grand nombre d’utilisateurs rend cet outil très attrayant pour les hackers.

Dans son fonctionnement standard, WordPress est mis à jour de manière régulière par l’équipe en charge de son développement. Ces mises à jour ont généralement pour but d’améliorer l’utilisation et les fonctionnalités de ce CMS.

Faut-il appliquer les mises à jour dès leurs publications ?

Oui ou non, c’est selon les cas. Lorsque ces mises à jour ou changements de version ne concernent que les fonctionnalités, notre conseil est plutôt d’attendre que d’autres « essuient les plâtres » (comme on dit).
En effet, une nouvelle version est toujours sensible aux traditionnels bugs, mais surtout aux failles de sécurité.

En quoi les failles sont-elles dangereuses ?

Dans la pratique, en fonction du type de faille, un individu malveillant pourra effectuer divers types d’actions pouvant aller jusqu’à prendre intégralement le contrôle de l’outil.

En référencement (puisque nous sommes sensibles à cet aspect), le hacker pourra utiliser diverses manières de cacher des liens vers ses propres sites dans votre site. Certains exploitent tellement bien cette astuce que les propriétaires mettent parfois plusieurs mois à s’en rendre compte.

Bien évidemment, à la longue, Google ne va pas tellement apprécié les dizaines de liens pointant vers des sites destinés à la vente de pilules bleues ou autres sites d’affiliation poker. Votre site a donc toutes les chances d’être déclassé, voir blacklisté car vous utilisez (à votre insu) une technique interdite de liens cachés.

Le pire reste la réelle volonté de nuire et le hacker peut tout aussi bien supprimer toutes vos données laissant votre site intégralement vide.

Mais alors, quand faut-il faire les mises à jour ?

À moins que la mise à jour WordPress concerne justement la correction d’une faille de sécurité, attendez au moins une semaine à 15 jours et surveillez l’apparition de failles en visitant quelques blogs de sécurité informatique (en voici un : sécurité WordPress / plugins). Si tout semble bien se passer pour les autres utilisateurs, vous pourrez alors mettre à jour votre CMS en limitant grandement les risques. D’ailleurs, n’oubliez pas de le faire !

Attention, avant vos mises à jour, pensez toujours à bien sauvegarder vos bases de données et thèmes. Il serait idiot de tout perdre à cause d’une mauvaise manipulation.

Nous précisons bien évidemment que faire les mises à jour est indispensable pour bénéficier des dernières évolutions de l’outil et il faut impérativement appliquer les mises à jour de sécurité, ne pas le faire serait suicidaire.

Publié par Sylvain Richard