Sécurité de WordPress VS site web statique, un expert en cybersécurité nous donne sa vision

Le débat de la sécurisation de WordPress revient sans cesse dans les discussions tech, surtout dès que l'on parle de création de sites web professionnels. C'est à ce moment en général que les fans de Matt Mullenweg sortent le sempiternel : « WordPress n’est pas moins sécurisé qu’une autre solution. » C’est une phrase que j’ai entendue un nombre incalculable de fois, notamment lorsque je pointais les problèmes de sécurité récurrents autour du CMS préféré de ton agence web de quartier. Alors afin d'élever le débat, j'ai sollicité Sylvain Bruyère, expert en cybersécurité qui va nous permettre de démêler le vrai du faux !
Média du post
Publication
Categories
Sites statiques
Piquant
PepperPepperPepper
Auteurs
Avatar de Armand Armand

Le débat sans fin  de la sécurité WordPress VS site statique

À chaque fois que les discussions sont lancées, les fanboys WordPress ressortent systématiquement la machine à éléments de langage. De mon côté, j’essaie de proposer des arguments factuels mais la discussion tourne en rond :

J’explique que WordPress offre, de par sa conception, une surface d’attaque bien plus importante qu’un site statique.
On me répond que « tout dépend de la maintenance » et qu’avec de bonnes pratiques, c’est équivalent.

Je souligne la complexité induite par l’empilement de thèmes et de plugins.
On me rétorque que « ce n’est pas WordPress, mais les extensions » qui posent problème. (alors que les plugins et les thèmes font partie intégrante de la philosophie WordPress)

Résultat : chacun campe sur ses positions, avec des éléments de langage souvent approximatifs. Et pour être honnête, ni moi ni mes interlocuteurs ne sommes des experts en cybersécurité. Alors plutôt que d’empiler les lieux communs, j’ai décidé de demander l’avis de quelqu’un qui sait vraiment de quoi il parle.
 

L’avis d’un expert en cybersécurité sur la sécurité d’un WordPress

J’ai donc sollicité Sylvain Bruyere, fondateur d’Yneos Cybersécurité Savoie, une entreprise basée à Savoie Technolac.
Yneos conçoit des outils d’analyse pour les professionnels de la cybersécurité ainsi que des applications sécurisées dès la conception pour tout type d’entreprise. Sylvain est également à l’origine de la plateforme Malva.RE, dédiée à l’analyse statique de fichiers et de malwares.

Voici son analyse sur le sujet « Sécurité WordPress vs site statique ».

« De mon point de vue d’analyste, un WordPress bien administré peut se défendre, mais comme tout site dynamique (PHP, ASP.NET, etc.), il repose sur beaucoup plus de briques techniques qu’un site statique. En sécurité, cela signifie une surface d’attaque plus large et davantage d’éléments à maintenir dans le temps. »

Dit autrement : WordPress peut être sécurisé, mais il demande beaucoup plus d’efforts, de rigueur et de surveillance continue.

WordPress : une cible naturellement exposée aux attaques

Un autre point clé soulevé par Sylvain concerne le volume de vulnérabilités :

« WordPress concentre un volume de vulnérabilités inhabituel. De nouvelles failles sont découvertes en continu, sur le cœur, les thèmes et surtout les plugins. Ce n’est pas un hasard : c’est lié à sa conception très extensible, à son long historique et à son immense popularité, qui en fait une cible prioritaire pour les attaquants. »

Ce point est souvent minimisé dans les discussions. Pourtant, il est fondamental : plus un outil est populaire et extensible, plus il attire l’attention des attaquants.

Site dynamique vs site statique : une différence structurelle

Pour bien comprendre le sujet, il faut comparer concrètement les deux approches.

Un site WordPress (ou dynamique) implique :

  • Un serveur web
  • Un langage serveur (PHP, ASP.NET, etc.)
  • Une base de données
  • Un back-office exposé
  • Des comptes utilisateurs
  • Des formulaires
  • Des thèmes et plugins développés par des tiers

Chaque élément est une brique technique supplémentaire, donc une porte potentielle à sécuriser et à maintenir.

Un site statique :

  • Sert uniquement des fichiers HTML, CSS et JavaScript déjà générés
  • Ne nécessite aucune base de données
  • N’exécute aucun code serveur à chaque requête
  • Peut être hébergé sur un simple serveur ou un CDN

Même les thèmes et extensions y sont statiques, ce qui signifie qu’ils n’augmentent pas la surface d’attaque.

 

Pour un site vitrine, le site web statique n’a que des avantages

C’est sans doute le point le plus important de cette réflexion. Pour un site vitrine classique, le résultat côté visiteur est strictement le même entre un site statique et un WordPress :

  • Des pages
  • Du contenu
  • Un formulaire de contact
  • Éventuellement des animations

Mais côté technique, l’écart est énorme et un site statique apporte les avantages suivants :

  • Moins de complexité
  • Moins de dépendances
  • Moins de maintenance
  • Et mécaniquement, moins de risques de sécurité

Conclusion : WordPress peut être sécurisé, mais le jeu en vaut-il la chandelle ?

Cet article n’a pas pour objectif de dire que WordPress est inutilisable ou intrinsèquement dangereux. Un WordPress bien administré, bien maintenu et bien sécurisé peut-être un outil fiable.

Mais nier le fait qu’il présente une surface d’attaque plus large qu’un site statique et donc présente quoi qu’il arrive plus de risques sur le long terme, c’est passer à côté d’une réalité technique.

Pour certains projets, WordPress est pertinent. Même si je lui préfèrerai toujours Drupal qui est, de par sa conception, beaucoup plus robuste et pérenne. Pour des sites vitrines simples, **le statique est à mon sens une solution beaucoup plus sobre, plus robuste et plus sécurisée durablement. **

Voici la conclusion de Sylvain sur cette opposition de style aussi clivante que passionnante : 

“Pour un simple site vitrine, le site statique fait tellement plus sens techniquement. On obtient le même résultat côté visiteur, avec bien moins de complexité technique côté statique, donc moins de portes potentielles à laisser entrouvertes”

Un grand merci à Sylvain Bruyere pour cet éclairage d’expert qui apporte une vision neutre et factuelle sur ce sujet brulant.