Présentation » Projets » Audit de sécurité de sites WordPress pour Orange.com

Illustration de l'audit de sécurité pour Orange

Audit de sécurité de sites WordPress pour Orange.com

Contexte

La section Orange.com du groupe Orange héberge plusieurs sites publics aux sujets très variés. Sachant qu’une partie de ces sites sont sous le CMS WordPress et que leur gestion a été confiée à divers prestataires, alors la direction m’a demandé de réaliser un audit de sécurité sur quatre d’entre eux :

Rôles

Pour cet audit de sécurité, mon rôle fut simple : mettre mon expertise WordPress au service de la sécurité des contributeurs et gestionnaires de site.

Ainsi, j’ai analysé la sécurité et l’optimisation des sites afin de fournir un état des lieux clair et des solutions pertinentes.

Résultats

Alors, le soucis avec un site Internet c’est que bien souvent une fois mis en place il n’y a plus de suivi. C’est d’autant plus embêtant quand le site a été réalisé avec un CMS.

Par exemple, les extensions et le cœur de l’outil restent dans des versions qui ne sont plus fiables.
Facile me direz-vous, mettons tout à jour. Oui et non, fréquemment, en quelques mois, voir années, le développement des extensions se trouve perturbé et donc désynchronisé de celui du cœur.

Pour réaliser un audit de sécurité convenable, il faut donc tout analyser en profondeur avant d’agir :

  • où en est le développement de chaque extension,
  • le développement du cœur,
  • quid de l’inter-compatibilité extension/cœur,
  • quelle est la nécessité de montée de version vis-à-vis des besoins et des risques,
  • etc.

Finalement, la synthèse de cet audit de sécurité :

  • 2 sites furent bloqués en montée de version de WordPress à cause d’une extension de gestion du multilinguisme au développement arrêté,
  • pas mal de règles de sécurité non appliquées :
    • adresse de connexion non modifiée,
    • backup au sein des dossiers de WordPress,
    • préfixe de base standard,
  • des base de données non optimisées,
  • etc.