Résultats de l'enquête de sécurité WordPress 2022
Publié: 2022-09-06Nous avons récemment mené une enquête pour mieux comprendre l'état de la sécurité de WordPress. L'enquête était ouverte à tous et comprenait plusieurs questions liées à la sécurité de WordPress. Ce rapport détaille nos conclusions.
Pourquoi cette enquête ?
La sécurité de WordPress est un sujet essentiel dans l'esprit de nombreux administrateurs et propriétaires de sites Web. En raison de sa nature ouverte et itérative, il n'est pas toujours facile de comprendre si vos efforts vont assez loin ou s'il y a des domaines qui nécessitent une attention et un développement supplémentaires. Cela est particulièrement vrai lorsque vous jonglez avec plusieurs choses à la fois, comme c'est souvent le cas avec la gestion de sites Web WordPress.
À cette fin, nous avons cherché à obtenir un instantané de l'état de la sécurité de WordPress. Bien que l'enquête ne couvre pas tous les aspects, elle est suffisante pour fournir une image globale de la sécurité générale de WordPress.
Quelle est l'importance de la sécurité WordPress pour vous ?
La première question que nous avons posée portait sur l'importance de la sécurité WordPress pour les administrateurs WordPress et les propriétaires de sites Web. Sans surprise, la grande majorité des personnes interrogées considèrent la sécurité de WordPress comme essentielle. En fait, 96 % des personnes interrogées considèrent la sécurité de WordPress comme très importante, tandis que 4 % des personnes interrogées la considèrent comme assez importante.
Alors que la grande majorité considère la sécurité de WordPress comme très importante, le temps consacré à la sécurisation de WordPress varie considérablement. Nous verrons ensuite ces chiffres.
Temps total consacré aux tâches de sécurité
Un pourcentage plus important d'administrateurs consacrent entre une et trois heures par mois à des tâches de sécurité, tandis que 35 % des répondants y consacrent plus de trois heures. 22% passent moins d'une heure par mois. Même s'il s'agit d'une minorité, cela représente tout de même un pourcentage considérable de tous les répondants.
Une chose importante à noter ici est que le temps consacré aux tâches de sécurité a tendance à varier dans le temps. En règle générale, un temps considérable est consacré à la configuration initiale. Une fois que tout est opérationnel, moins de temps est généralement consacré aux tâches liées à la sécurité avec quelques heures par mois suffisantes pour couvrir la maintenance continue. La taille et la complexité des sites Web peuvent également jouer un rôle considérable dans le temps passé.
Durcissement de WordPress et meilleures pratiques
Le durcissement de WordPress est un processus de bonnes pratiques qui vise à réduire la surface d'attaque des sites Web WordPress. Aucune norme convenue ne définit ce qui se passe dans un exercice de durcissement ; cependant, cela implique généralement des activités telles que la restriction de l'API REST et la désactivation de l'éditeur de fichiers, entre autres.
Lorsque nous avons demandé aux répondants s'ils avaient déjà entrepris un tel exercice de renforcement de la sécurité WordPress, la grande majorité - 85% ont répondu par l'affirmative. 28 % ont renforcé manuellement leur site Web WordPress, tandis que 26 % ont utilisé un plugin ou un service. 31% ont utilisé un plugin et effectué des processus manuels. Seulement 15% des répondants n'ont entrepris aucun exercice de durcissement.
Mises à jour et tests
Les mises à jour sont un autre aspect critique de la sécurité de WordPress. WordPress lui-même, ainsi que les plugins et les thèmes, reçoivent des mises à jour régulières - ou du moins ils le devraient. La gestion de ces mises à jour est essentielle car elles incluent souvent des correctifs pour les bogues et les failles de sécurité présents dans la version actuelle (installée).
52 % des répondants ont activé les mises à jour automatiques pour les composants qui incluent WordPress, les plugins et les thèmes, tandis que 48 % n'ont pas activé les mises à jour automatiques. Bien sûr, ne pas activer les mises à jour automatiques n'est pas nécessairement un risque pour la sécurité, car de nombreux administrateurs choisissent de tester les mises à jour avant de les déployer dans l'environnement en direct.
En fait, 25 % des personnes interrogées testent toujours les mises à jour dans un environnement de test ou de staging, tandis que 26 % ne testent que les mises à jour majeures. De plus, 32 % des administrateurs interrogés testent parfois les mises à jour, tandis que 17 % ne testent jamais les mises à jour, quel que soit l'impact qu'elles pourraient avoir sur leurs sites Web.
Stratégie de mises à jour
Bien que les mises à jour automatiques et les tests de mise à jour de WordPress aient leurs mérites, la stratégie utilisée peut dépendre de l'environnement. Un site Web de commerce électronique à enjeux élevés peut vouloir tester les mises à jour avant de les déployer, car une panne peut signifier une perte de revenus. D'un autre côté, un propriétaire de site Web qui préfère ne pas intervenir autant que possible peut activer les mises à jour automatiques pour assurer la sécurité de son site Web sans avoir à le gérer activement.
En tant que tel, nous avons pensé qu'il serait intéressant de voir quelle stratégie globale les administrateurs utilisent en matière de mises à jour.
| Mises à jour et tests automatiques | Pourcentage |
|---|---|
| Mises à jour automatiques activées et teste parfois les mises à jour | 19 |
| Mises à jour automatiques désactivées et teste toujours les mises à jour | 16 |
| Mises à jour automatiques désactivées et ne teste que les mises à jour majeures | 15 |
| Les mises à jour automatiques sont désactivées et testent parfois les mises à jour | 13 |
| Mises à jour automatiques activées et ne teste jamais les mises à jour | 13 |
| Mises à jour automatiques activées et ne teste que les mises à jour majeures | 11 |
| Mises à jour automatiques activées et teste toujours les mises à jour | 9 |
| Mises à jour automatiques désactivées et ne teste jamais les mises à jour | 4 |
Alors que la majorité des gens ont activé une certaine forme de mises à jour automatiques, de nombreux administrateurs effectuent encore une certaine forme de test avant de déployer des mises à jour dans leur environnement en direct. En fait, seulement 17 % de tous les répondants ne testent jamais les mises à jour.
Utilisation du plugin de sécurité
Les participants à l'enquête ont également été interrogés sur leur utilisation des plugins de sécurité. Un accent particulier a été mis sur les pare-feu, 2FA, les journaux d'activité WordPress et les plugins de sécurité par mot de passe.
La grande majorité des personnes interrogées ont un plug-in de pare-feu installé dans leur environnement, 81 % déclarant en avoir un ou plusieurs installés. A l'inverse, 19% n'ont aucun plugin de pare-feu installé.
2FA n'est pas aussi populaire que les pare-feu, malgré le fait que des entreprises comme Microsoft et Google se rallient à ce moyen plus sécurisé de se connecter à WordPress. En fait, seuls 64 % des répondants utilisent 2FA sur leur site Web, tandis que 36 % ne le font pas.
Les plugins de journal d'activité sont tout aussi populaires que les plugins 2FA, avec 65 % des répondants qui en utilisent un.
En ce qui concerne la sécurité des mots de passe, 38 % des personnes interrogées font confiance à leurs utilisateurs pour utiliser des mots de passe WordPress sécurisés. D'autre part, 40% utilisent un plugin de sécurité de mot de passe WordPress, tandis que 22% envisagent d'en utiliser un.
Meilleurs plugins
| Les trois meilleurs plugins de pare-feu | Les trois meilleurs plugins 2FA | Les trois principaux plugins de journal d'activité |
|---|---|---|
| WordFence - 49% | Wordfence - 25% | Journal d'activité WP - 42% |
| Sucuri - 7% | WP 2FA - 22% | Histoire Simple - 7% |
| Sécurité iThemes - 2,5% | iThèmes - 2,5% | Journal d'activité - 7% |
Tirer des conclusions et une voie à suivre
Les résultats montrent un fort intérêt pour la sécurité de WordPress, ce qui est encourageant. De même, de nombreux administrateurs et propriétaires de sites Web prennent des mesures pour garantir la sécurité de leurs sites Web. Pourtant, il reste encore du travail à faire.
Alors que 2FA, sous une forme ou une autre, existe depuis un certain temps, il doit encore rattraper son retard. Les plugins de pare-feu continuent de jouir d'une popularité massive et, aussi bons soient-ils, ils ne peuvent pas protéger les sites Web WordPress contre les violations d'informations d'identification. Cela rend les plugins 2FA essentiels à la sécurité globale des sites Web WordPress.
Il faut dire que ce n'est qu'un aperçu de la façon dont les administrateurs WordPress et les propriétaires de sites Web voient la sécurité. Il est également important de noter que les questions de cette enquête ne couvrent que les bases de la sécurité WordPress. Si vous êtes sérieux au sujet de la protection de vos sites Web, assurez-vous de suivre notre blog, où nous couvrons de nombreux sujets sur la sécurité de WordPress.