WP Umbrella Logo

WordPress Professional : Un entretien avec le PDG de WPScan, Ryan Dewhurst

L'équipe WP Umbrella
-
  • Partager sur :

Ryan Dewhurst, qui êtes-vous ?! Veuillez vous présenter

Je m'intéresse à la sécurité informatique depuis mon adolescence, lorsque j'ai commencé à jouer avec de vieux programmes d'interface graphique comme le cheval de Troie Sub-7 et d'autres outils similaires.

Plus tard dans ma vie, je suis allé à l'université et j'ai obtenu un diplôme de premier cycle en sécurité informatique. Alors que j'étais encore à l'université, j'ai été embauché par une entreprise de tests d'intrusion où j'ai testé la sécurité des sites web de certaines des plus grandes marques britanniques. En même temps, j'ai créé un projet Open Source appelé Damn Vulnerable Web App (DVWA) pour m'aider à améliorer mes compétences en matière de tests sur le web. Après l'université, j'ai déménagé en France et j'ai commencé un nouveau projet appelé WPScan.

Comment avez-vous commencé à utiliser WordPress ? Quand l'a-t-il été et que faites-vous avec lui ?

J'ai commencé à utiliser WordPress pour tenir un blog sur ce que j'apprenais à l'université, pour partager mes nouvelles connaissances et expériences avec les autres.

Pourquoi avez-vous décidé de vous concentrer sur WordPress ?

Vous savez, je ne me souviens pas de la raison exacte pour laquelle j'ai choisi WordPress comme première plateforme de blogs, mais je l'ai fait. C'est mon propre blog qui m'a amené à créer l'outil WPScan, car j'ai commencé à prendre conscience des failles de sécurité dans mon propre blog et j'ai voulu créer un outil pour mes collègues testeurs de pénétration afin de pouvoir tester plus facilement la sécurité des sites web WordPress.

Quelles sont les forces et les faiblesses de ce CMS ?

Les points forts sont qu'il est largement connu, stable et que le logiciel de base est sécurisé. La plus grande force est sans doute l'écosystème de plugins WordPress, qui permet aux utilisateurs d'étendre facilement les fonctionnalités de WordPress, et il existe un plugin pour presque tout ce dont vous pouvez avoir besoin. D'un autre côté, l'écosystème de plugins est également l'une des plus grandes faiblesses de WordPress, à savoir des plugins de mauvaise qualité et peu sûrs. La grande majorité des problèmes de sécurité proviennent de ces plugins tiers.

La question à un million de dollars : wordPress est-il sûr et pourquoi ?

Oui, WordPress est sécurisé. Il ne devient peu sûr que lorsqu'il est mal géré, et c'est souvent le cas avec WordPress car beaucoup de ses utilisateurs ne sont pas très techniques, ou n'ont pas le temps de s'assurer qu'il est bien géré.

Lagestion d'un blog WordPress est assez simple, mais nécessite une certaine interaction humaine, comme par exemple s'assurer que les mises à jour sont installées. Comme mentionné précédemment, le véritable problème provient de certains plugins WordPress tiers. Presque tout le monde peut créer et distribuer un plugin WordPress, et certains de ces développeurs n'ont peut-être pas les compétences nécessaires pour sécuriser correctement leurs logiciels. Cela dit, certains des plugins les plus utilisés et les plus populaires sont aujourd'hui très sûrs, car les vendeurs ont réalisé l'importance de la sécurité et ont investi du temps et de l'argent dans la sécurité de leurs propres plugins.

Surveillez-vous le temps de fonctionnement, les performances et les erreurs php de vos sites web ?

Oui, nous (WPScan) surveillons le temps de fonctionnement, les performances et les erreurs du site web. Mais nous n'utilisons actuellement WordPress sur aucun de nos sites web, nous utilisons plutôt un mélange de technologies et de code personnalisé pour exécuter WPScan. C'est pourquoi nous utilisons des applications tierces (uptime robot, CloudFlare, Kibana) et non un plugin pour contrôler le temps de fonctionnement, les performances et les erreurs de notre site web.

Comment voyez-vous l'évolution de WordPress à l'avenir ?

Compte tenu de sa trajectoire actuelle en termes de croissance de sa part de marché, je ne vois que WordPress se développer à l'avenir. Avec l'intérêt accru pour la sécurité de WordPress et le nombre d'entreprises qui y répondent, je ne peux que constater que l'écosystème WordPress devient lui aussi plus sûr.

Je pense que WordPress va continuer à faire évoluer ses technologies, comme le montre la mise en œuvre de Gutenberg et de la nouvelle API REST, entre autres. Pour moi, l'avenir de WordPress s'annonce radieux pour un long moment encore.

Et le WPScan ?!

Chez WPScan, nous avons récemment terminé la refonte de notre site principal et la consolidation de quelques autres sur le même site. Notre outil CLI, notre site web et l'API sont assez stables et matures maintenant, donc je pense qu'ils nécessiteront moins de notre temps à l'avenir. À l'avenir, nous consacrerons davantage d'efforts à notre WPScan Plugin de sécurité WordPresset j'espère qu'il en résultera une augmentation significative du nombre d'utilisateurs actifs de plugins.

Nous voulons également continuer à nous assurer que nous sommes aussi rapides et précis que possible dans la maintenance de notre base de données de vulnérabilité WordPress.