Etant le CMS (Content Management System) le plus répandu, il est fatalement intéressant pour des attaquants. Cela étant, les développeurs ont l’air de faire sérieusement leur boulot, et c’est plutôt du côté des plugins qu’il faut voir les risques.
TrendMicro a étudié la question, mais leurs recommandations restent simples et faciles à mettre en oeuvre :
- Réduire la surface d’attaque en adoptant une hygiène de sécurité de base ;
- Désactiver et si possible supprimer les plugins anciens, non maintenus, etc. ;
- Mettre en oeuvre le principe du moindre privilège (ne pas donner tous les droits à tout le monde, et bien protéger les utilisateurs ayant des droits élevés) ;
- Mettre-à-jour régulièrement (dès que possible) le CMS et les plugins ;
- Plus compliqué : utiliser le patching virtuel, mais cela ne peut pas être mis en oeuvre simplement via le CMS. Il faut a minima acheter un produit spécifique, avoir un accès privilégié à l’OS (rarement le cas quand on utilise un hébergement WordPress clé-en-main).