WordPress, la célèbre solution de gestion de contenus détient une part de marché de 43,4 % sur l’ensemble du web et domine très largement le secteur des CMS (Content Management System) avec un taux de pénétration de 62,6 %. Imaginez donc maintenant, un monde sans WordPress, un monde où des millions de sites web, blogs et e-commerces seraient soudainement plongés dans le noir numérique. Certes, ça peut sembler exagéré, voire apocalyptique. Pourtant, l’évolution rapide du web et les défis auxquels WordPress et ses utilisateurs sont désormais confrontés nous obligent aujourd’hui à envisager sérieusement un tel scénario. Si les qualités inhérentes de la solution en ont fait un CMS aujourd’hui incontournable, elle est néanmoins confrontée à un défi de taille : la multiplication de failles de sécurité qui affectent un nombre toujours plus important de sites, soulèvent des questions quant à la pertinence de son choix dans le cas notamment de projets stratégiques.
Bon partout, excellent nulle part : pourquoi WordPress est-il devenu si populaire ?
Gratuité, facilité d’utilisation, communauté dynamique : les raisons du succès phénoménal de WordPress, le petit blog devenu grand.
WordPress a indéniablement révolutionné la création de sites web. Sa facilité d’utilisation, sa gratuité et sa flexibilité en ont fait le CMS le plus populaire au monde. Et de loin ! Plusieurs facteurs expliquent ce succès fulgurant.
Sa courbe d’apprentissage est douce. WordPress est donc accessible à tous. Nul besoin d’être un développeur aguerri pour sa lancer dans la création d’un site web. Son interface intuitive et sa vaste communauté d’utilisateurs facilitent la prise en main.
En effet, la communauté WordPress est immense et dynamique. Elle produit en permanence de nouveaux outils, des tutoriels et de l’aide pour les utilisateurs. Grâce à ses milliers (millions ?) de thèmes et de plugins, WordPress permet de créer des sites web de toutes sortes, du simple blog au e-commerce en passant par la quasi totalité des configurations de sites web possibles.
Pour couronner le tout, l’écosystème WordPress est florissant, avec des entreprises qui proposent des services d’hébergement, de développement et de maintenance.
Entre mythes et réalités, pourquoi le choix de WordPress est-il devenu pour beaucoup un réflexe ?
Le choix de WordPress comme système de gestion de contenu (CMS) s’est imposé comme une évidence pour de nombreux projets web, au point de devenir un réflexe tant chez les particuliers que chez les professionnels. Cette omniprésence a cependant engendré une série de mythes qui nuisent encore souvent à la perception objective du CMS.
L’un des principaux atouts de WordPress réside dans sa simplicité d’utilisation et sa forte capacité de personnalisation, grâce à une multitude d’extensions. Ces caractéristiques ont séduit un public aussi varié que les particuliers, les petites entreprises et même de grands groupes. Pourtant, cette flexibilité excessive a donné naissance à un mythe tenace : celui de la parfaite interchangeabilité des développeurs WordPress. Nombre de clients pensent à tort qu’un projet WordPress peut être aisément repris par n’importe quelle agence spécialisée dans ce CMS. Or, la réalité est bien différente. La personnalisation poussée de chaque projet rend souvent difficile (voire impossible) la transition entre différentes équipes, en raison de codes spécifiques et d’architectures uniques.
Un autre mythe récurrent concerne les performances en matière de référencement naturel (SEO) de WordPress. Le succès de plugins comme Yoast SEO a contribué à forger l’idée que WordPress est intrinsèquement optimisé pour le SEO. Cette croyance a alimenté une nouvelle génération de consultants SEO qui se limitent souvent à cet écosystème, au détriment d’une approche plus globale du référencement.
Enfin, l’essor de constructeurs de pages visuels comme Elementor a renforcé l’idée que WordPress permet de créer des sites web sans compétences techniques. Si cette facilité d’utilisation est séduisante, elle peut aussi s’avérer contreproductive. En effet, une utilisation excessive de ces outils complexifie considérablement la structure d’un site et le rendre plus vulnérable aux failles de sécurité.
59 200 plugins et 12 000 thèmes : Le nombre d’extensions et de thèmes disponibles gratuitement pour WordPress en 2024.
Comme tout réflexe, pourquoi le choix de WordPress peut être considéré comme mauvais ?
Si WordPress présente de nombreux avantages, son adoption systématique s’avère problématique pour plusieurs raisons. La popularité du CMS en fait tout d’abord la cible privilégiée des hackers et pirates en tout genre. L’emploi de thèmes et d’extensions multiplie les failles de sécurité avec les conséquences que l’on connaît : vol ou pertes de données, ou rançongiciels etc.
WordPress ne brille pas non plus par ses performances, en premier lieu à cause de son haut niveau de personnalisation. Lorsqu’il ne fait pas l’objet d’attentions particulières pour être correctement configuré et optimisé, il entraîne des ralentissements qui nuisent à l’expérience utilisateur et qui vont même paradoxalement avoir un impact indirect mais non négligeable en matière de référencement naturel.
Pour des projets complexes qui nécessitent des fonctionnalités très spécifiques, les limites de WordPress apparaissent rapidement. La personnalisation devient fastidieuse et nécessite des connaissances techniques poussées. En choisissant WordPress, à l’instar finalement de tout autre CMS, on devient dépendant d’une technologie spécifique et d’une communauté externe. Ça limite la liberté d’évolution et rend plus difficile la migration vers d’autres solutions.
Bien que WordPress soit gratuit, il génère des coûts supplémentaires dès lors qu’on souhaite recourir à des thèmes premium, des plugins qui ont pignon sur rue, à l’hébergement et à la maintenance.
À quelles failles sismiques WordPress nous expose ?
WordPress : le CMS qui a tout pour plaire, surtout aux pirates et cybercriminels.
La popularité de WordPress en fait une cible de choix pour les cybercriminels. La diversité et la fréquence des attaques qui visent le CMS ne cessent de croître, mettant en péril la sécurité des sites, le vol de données sensibles et la propagation de logiciels malveillants.
Les plugins et les thèmes tiers, bien qu’essentiels à la personnalisation des sites WordPress, représentent la principale faille de sécurité. Leur multiplication incontrôlée et l’obsolescence fréquente de certaines extensions créent un véritable terrain fertile pour les cyberattaques. En effet, de nombreux développeurs ne mettent pas à jour leurs produits et laissent ainsi des portes ouvertes aux pirates. Cette complexité accrue rend la gestion des sites WordPress plus ardue et favorise l’apparition de vulnérabilités bien connues.
En chiffres :
74 : le pourcentage de sites WordPress piratés en 2022 qui utilisaient des logiciels obsolètes au moment de leur attaque.
26 : le nombre de sites WordPress parmi les plus populaires de 2022 qui comportaient des plugins présentant des risques critiques en matière de cybersécurité.
4 528 : le nombre total de failles de sécurité relevées en 2022 au sein de WordPress soit 328 supplémentaires signalés par rapport à l’année précédente.
Sources : brightplugins.com et Sucuri.
L’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information) souligne l’importance de réduire la surface d’attaque de son système d’information. En raison de sa large diffusion, WordPress présente une cible de choix pour les cyberattaques car il ne brille pas particulièrement par sa discrétion numérique. De plus, les faiblesses du CMS dans les domaines de l’architecture, de la protection des données et de la gestion des accès aggravent considérablement cette vulnérabilité.
1. Les attaques par cross-site scripting (XSS) :
Ces attaques malveillantes permettent d’injecter du code JavaScript au sein des pages web. Elles manipulent les internautes, les incitant à divulguer des informations sensibles ou les redirigeant vers de faux sites dans le but par exemple de voler leurs identifiants de connexion. Les attaques XSS étaient de loin la catégorie de vulnérabilité WordPress la plus courante avec 1 109 cas constatés, soit près de la moitié de toutes les vulnérabilités divulguées en 2022.
2. Les attaques de type Cross-Site Request Forgery (CSRF ou XSRF) :
La falsification de requête intersites est une attaque dont le principe n’est pas sans rappeler XSS, mais elle a la particularité de pouvoir être menée même lorsque l’utilisateur est authentifié. Dans le cadre d’une telle attaque ce dernier est également incité à effectuer des actions non désirées à son insu. En 2002, cette vulnérabilité a été identifiée comme la deuxième plus fréquente dans WordPress, avec 377 occurrences rapportées.
3. Les vulnérabilités de contournement d’authentification :
En 2022, les vulnérabilités liées au contournement de l’authentification constituaient la troisième catégorie de failles les plus fréquemment signalées dans WordPress. Les mécanismes d’authentification du CMS, bien que souvent complexes, présentent des faiblesses exploitables de diverses manières. Les attaquants peuvent, par exemple :
- Contourner la page de connexion : Ils accèdent directement à des pages internes en modifiant l’URL ou en manipulant des formulaires pour simuler une authentification réussie ;
- Altérer les requêtes : Ils modifient les paramètres d’une requête de sorte que l’application les considère comme des utilisateurs authentifiés ;
- Exploiter des injections SQL : Ils manipulent les requêtes SQL pour récupérer des informations sensibles de la base de données, modifier des enregistrements ou même accéder à des identifiants de session stockés dans les cookies. Ces identifiants, souvent incrémentés de manière linéaire, permettent aux attaquants de se connecter en tant que différents utilisateurs.
4. Les injections SQL
Ces attaques permettent aux pirates d’infiltrer du code SQL dans les bases de données du site, puis d’ouvrir la voie à la modification, à la suppression ou à l’extraction de données sensibles voire à l’exécution de code malveillant sur le serveur. En 2022, les vulnérabilités d’injection SQL étaient la quatrième catégorie la plus courante avec 200 divulgations.
5. Divulgation d’informations
La divulgation d’informations vient compléter ce top 5 avec tout de même 73 vulnérabilités de type divulgations recensées en 2022.
Source : Wordfence.
WordPress propose un back-office populaire et facile d’appropriation mais… vite dépassé.
L’interface d’administration de WordPress, bien qu’intuitive pour beaucoup, présente certaines limites lorsqu’il s’agit de gérer des sites complexes ou de la personnaliser en profondeur.
Au fur et à mesure que l’on multiplie les extensions, les risques de conflits et de ralentissements augmentent. Ils alourdissent l’interface et rendant la maintenance plus fastidieuse. La gestion des mises à jour devient complexe et chronophage, surtout lorsque certains plugins sont abandonnés par leurs développeurs. Au mieux, il faut alors remplacer l’extension défaillante par une autre, au pire il faut en développer une nouvelle de zéro.
Il faut également noter que les dites extensions ne sont pas spontanément compatibles avec les mises-à-jour du cœur de WordPress. De nombreux services s’avèrent donc indisponibles à chacune des mises-à-jour du CMS.
Or, comme nous avons pu le voir précédemment, maintenir un environnement WordPress à jour est crucial pour parer aux menaces de sécurité.
Si WordPress offre une grande variété de thèmes, la personnalisation poussée est souvent limitée aux options proposées. Recourir à un thème sur-mesure, qui nécessite des connaissances en développement, est alors nécessaire. De plus, les plugins et thèmes mal codés introduisent des vulnérabilités qui compromettent ainsi la sécurité du site.
Avec le temps, un site WordPress peut ralentir, notamment en raison d’un nombre excessif de plugins, d’un manque d’optimisation ou d’un hébergement sous-dimensionné. Et pour optimiser les performances d’un site WordPress, il faut disposer de compétences techniques solides en développement web (LAMP, JavaScript, intégration, SEO).
Pour les grands sites et les contenus complexes, les limites de l’interface d’administration se font rapidement sentir. L’intégration avec d’autres systèmes (CRM, ERP) nécessite souvent des développements sur mesure, ce qui alourdit la gestion du site.
Vieillissement de sa communauté et obsolescence technologique : WordPress, un boomer du numérique ?
La communauté WordPress vieillit ! Depuis plusieurs années, la plateforme peine à séduire de nouveaux développeurs, en particulier les jeunes générations, attirées par des solutions plus modernes.
Les formations en développement web (sérieuses) accordent de moins en moins de place à WordPress. C’est à n’en pas douter le reflet d’un désintérêt croissant de la part des apprenants et des professionnels. Les agences digitales éprouvent d’ailleurs de plus en plus de difficultés à recruter de jeunes développeurs enthousiastes à l’idée de travailler avec le célèbre CMS.
De plus en plus d’agences choisissent de ne plus inclure WordPress au sein de leurs offres. Bien qu’il domine toujours une part significative du marché (voir ci-avant), le CMS voit sa compétitivité s’éroder progressivement en raison du recul de sa communauté. Cette tendance est tempérée par sa popularité persistante et la fidélité qu’il a acquise en dehors du cercle professionnel.
Le « Big Freeze » : l’hiver numérique qui pourrait bien affecter les millions de sites web qui s’appuient WordPress ?
Un scénario digne des plus grands thrillers hollywoodiens ?
Imaginez un matin où vos sites WordPress préférés, qu’ils soient des blogs personnels, des boutiques en ligne florissantes ou des portails d’informations, sont inaccessibles. Un arrêt brutal des serveurs de WordPress, dû à une cyberattaque massive, un bug critique ou une défaillance matérielle, plongerait des millions de sites dans le noir numérique. Les conséquences seraient considérables :
- Des pertes financières colossales : Les entreprises en ligne verraient leurs revenus s’évaporer en quelques heures. Une panne de quelques heures entraîne irrémédiablement des pertes de plusieurs milliers d’euros pour une petite entreprise ;
- Une érosion de la confiance des internautes : ces derniers, habitués à un accès instantané à l’information et aux services en ligne, seraient frustrés et méfiants. Cela pourrait entraîner une perte de confiance durable envers les sites WordPress et, par extension, envers l’ensemble du web ;
- Un impact sur l’économie numérique : Un arrêt prolongé de WordPress aurait des répercussions sur l’ensemble de l’économie numérique. De nombreux secteurs, comme le e-commerce, le blogging ou la communication en ligne, sont fortement dépendants de cette plateforme.
Un scénario digne des plus grands thrillers hollywoodiens ? Pourtant, il se déroule sous nos yeux. Les chiffres sont sans appel : en août 2024, ce ne sont plus des dizaines, mais des millions de sites WordPress qui ont déjà été exposés à de graves vulnérabilités.
Plusieurs dizaines de millions de sites WordPress concernés par des failles critiques entre janvier et août 2024.
Janvier – Core applicatif et éditeur de blocs du CMS. Plusieurs millions de sites concernés. Plusieurs failles critiques permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Janvier – plugin Better Search Replace Plus d’un million de sites concernés. **Cette faille permet d’exécuter du code à distance, de récupérer des données sensibles ou de supprimer des fichiers.
Février – plugin Bricks Builder 25 000 sites concernés. Cette vulnabilité impacte les sites qui emploie l’extension Bricks Builder jusqu’à la version 1.9.6. Les pirates peuvent exécuter du code arbitraire sur les sites web concernés et obtenir un contrôle absolu sur ces CMS ;
Mars – plugin LayerSlider Plusieurs millions de sites potentiellement concernés. Cette faille peut être utilisée pour extraire des informations sensibles de bases de données, telles que des hachages de mots de passe.
Mars – plugin LiteSpeed 5 millions de sites concernés. Cette faille permet aux pirates de procéder à une escalade des privilèges puis de voler toutes les informations souhaitées via une simple requête HTTP.
Avril – plugin Forminator 300 000 sites concernés. L’utilisation du module Forminator offre la possibilité d’ouvrir une porte dérobée par laquelle des utilisateurs non autorisés peuvent injecter des scripts malveillants.
Juin – plugins Social Warfare, Blaze Widget, Wrapper Link Element, Contact Form 7 Multi-Step Addon, Simply Show Hooks Plusieurs millions de sites concernés. 5 plugins populaires incluent un code malveillant qui permet aux pirates de créer des comptes administrateurs non autorisés.
Août – plugin GiveWP 100 000 sites concernés Une vulnérabilité critique expose les sites concernés à des risques d’exécution de code à distance et de suppression arbitraire de fichiers.
Liste non exhaustive.
Le choix d’un CMS est une décision qu’il ne faut pas prendre à la légère et qui a des implications à long terme. Si WordPress est une solution évidemment populaire, il est important de déconstruire les mythes qui l’entourent et d’évaluer ses avantages et inconvénients de la façon la plus objective possible. Les besoins spécifiques de chaque projet doivent donc guider ce choix. La sécurité, la performance, la flexibilité et la souveraineté numérique sont autant de critères à prendre en compte. WordPress est un outil populaire pourvu de qualités intrinsèques, mais il est loin de convenir à tous les projets. Une analyse approfondie des différentes options disponibles est fortement recommandée pour faire le meilleur choix.
Sources :
Florian BURNEL, “Les pirates exploitent une faille dans une extension WordPress avec plus d’un million d’installations” in it-connect.fr [26/01/24] (23/08/24). [https://www.it-connect.fr/les-pirates-exploitent-une-faille-dans-une-extension-wordpress-avec-plus-dun-million-dinstallations/].
Mathieu EUGÈNE, “Chiffres WordPress – 2024” in blogdumoderateur.com [publié en 2020 mis-à-jour le 20/03/24], (23/08/24). [https://www.blogdumoderateur.com/chiffres-wordpress/].
Aaron JORBIN, “WordPress 6.4.3 – Maintenance and Security release” in WordPress.org [30/01/24], (23/08/24). [https://wordpress.org/news/2024/01/wordpress-6-4-3-maintenance-and-security-release/].
Ramuel GALL, The Wordfence 2022 State of WordPress Security Report, [24/01/23], (23/08/24). [https://www.wordfence.com/wp-content/uploads/2023/01/Wordfence-2022-State-of-WordPress-Security-Report.pdf].
Mélina LOUPIA, “Ce plugin WordPress promettait la collecte de dons… Il a surtout servi à collecter les données de 100 000 sites Web !” in Clubic [22/08/24], (23/08/24). [https://www.clubic.com/actualite-535259-ce-plugin-wordpress-promettait-la-collecte-de-dons-il-a-surtout-servi-a-collecter-les-donnees-de-100-000-sites-web.html].
Bernard NEUMEISTER, “5 plugins WordPress compromis : des millions de sites web menacés” in Infohightech [050724], (23/08/24). [https://infohightech.com/5-plugins-wordpress-compromis-des-millions-de-sites-web-menaces/].
“Faille de sécurité critique dans le populaire plugin WordPress LayerSlider” in Africa Cybersecurity Magazine [03/04/24],(23/08/24). [https://cybersecuritymag.africa/faille-securite-critique–plugin-wordpress-layerslider].
“Structurer ses mesures de sécurité” in cyber.gouv.fr [18/07/22 mis à jour le 23/01/24],(23/08/24). [https://cyber.gouv.fr/structurer-ses-mesures-de-securite].
“Usage statistics and market shares of content management systems” in w3techs.com,(23/08/24). [https://w3techs.com/technologies/overview/content_management].
“Une faille sécuritaire touche des centaines de milliers de sites web WordPress” in Datanews [23-04-2024],(23/08/24). [https://datanews.levif.be/actualite/securite/failles/une-faille-securitaire-touche-des-centaines-de-milliers-de-sites-web-wordpress/].
“WordPress : une faille critique menace plus de 25 000 sites web” in freelance-informatique.fr [16/04/24],(23/08/24). [https://www.freelance-informatique.fr/actualites/wordpress-faille-critique-menace-plus-25000-sites-web].