WordPress intègre de nouvelles fonctionnalités de sécurité indispensables dans sa dernière mise à jour, WordPress 5.2, en cours de déploiement sur des sites Web du monde entier. Le système de gestion de contenu (CMS) le plus populaire au monde ajoute la prise en charge des mises à jour signées par cryptographie, une bibliothèque de cryptographie moderne, une section sur la santé du site dans le panneau d’administration et une protection contre les WSOD (White-Screen-of-Death).
À partir de WordPress 5.2, l’équipe WordPress signera numériquement ses packages de mise à jour à l’aide du système de signature à clé publique ED25519. Cela permettra à une installation locale de vérifier l’authenticité du package de mise à jour avant de l’appliquer à un site local et peut même aider à prévenir les attaques par chaîne d’approvisionnement sur tous les sites WordPress.
Scott Arciszewski, directeur du développement de Paragon Initiatives Enterprises, a expliqué à ZDNet comment WordPress 5.2 rendrait plus difficile le lancement d’attaques contre la plateforme par les cybercriminels, en déclarant :
« Avant WordPress 5.2, si vous vouliez infecter tous les sites WordPress sur Internet, il vous suffisait de pirater [le serveur de mise à jour WordPress]. Après WordPress 5.2, vous deviez lancer la même attaque et en quelque sorte voler la clé de signature de l’équipe de développement WordPress ».
Santé du site
WordPress vise à améliorer la sécurité du site Web avec sa nouvelle section « Santé du site » dans le menu « Outils » du panneau d’administration, qui comprend deux nouvelles pages : « État de santé du site » et « Informations de santé du site ».
La page « État de santé du site » exécute un ensemble de contrôles de sécurité de base et fournit un rapport contenant les conclusions et recommandations sur la résolution des problèmes détectés. La section « Informations de santé du site » du site fournit une mine d’informations utiles sur un site Web et la configuration de son serveur.
Des informations sont également fournies sur l’installation WordPress elle-même, l’utilisation du stockage de fichiers, les plug-ins et les thèmes.
WSOD
Le projet Serverhappy est une autre nouvelle fonctionnalité de sécurité incluse dans la dernière version de WordPress. Alors que WordPress 5.1 incluait la possibilité d’afficher des avertissements lorsque des installations WordPress étaient exécutées sur des serveurs dotés de versions PHP obsolètes, WordPress 5.2 inclut une protection contre les fameux « écrans blancs de la mort » (WSOD) qui fonctionnent comme un mode sécurisé pour les sites WordPress. La protection contre les WSOD peut temporairement désactiver les thèmes et les plug-ins lorsqu’une erreur fatale PHP est rencontrée, afin que les administrateurs de site puissent accéder aux backends de leurs sites et corriger l’erreur.
L’amélioration de la sécurité d’une plateforme utilisée sur 33,8 % des sites Web du monde est certainement un ajout bienvenu.