Comment prouver techniquement que WordPress est sécurisé?

"Cassandra, le moteur sous Facebook, n’est-ce pas Open Source?" Cette question devrait les mettre à l'aise.

Cassandra est également utilisé par Apple et Netflix , et est open source. En outre, vous pouvez citer tous les principaux sites utilisant WordPress. "Si c'est bon pour eux, c'est probablement bien pour toi."

Comme l’indique l’autre réponse, le problème est que la manière dont le logiciel est créé et mis à jour n’a absolument aucune incidence sur la sécurité. Plus important encore, la fréquence de mise à jour et la facilité de mise à jour de vos sites. À mon avis, WordPress est très bon à cela.

Comme il s’agit d’une question générale, il n’est pas judicieux de fournir des réponses détaillées. Il serait préférable de montrer quelques exemples intéressants.

Les autres personnes font des tests sérieux. Prenez l'unité WordPress Docker par exemple 12

Ils disent que WordPress est sécurisé, mais que PHP n'est pas encore sécurisé. Donc, même si vous avez WordPress parfait (configuré par le livre), les problèmes peuvent être de l’autre côté.

J'appartiens à un pays où j'ai souvent fait face à des situations similaires. Mais je les ai affrontés avec mes WP sites actifs et leurs histoires sonores. La rumeur était vraie, quand tout le monde est devenu développeur et a développé les choses de WordPress sans comprendre comment WordPress gère les choses tout seul. Les choses se sont donc développées et les pirates ont réussi à se frayer un chemin à travers leur code buggy. La rumeur s'est renforcée avec un énorme effondrement des sites Joomla, à cette époque. Cela arrivait parfois à cause de serveurs peu coûteux, où la sécurité des serveurs était mauvaise.

En tout cas, je me suis demandé si je connaissais la réponse pour vous et si je me trouvais vide. J'ai donc consulté des articles, en citant certains d'entre eux et en ajoutant mes points/compréhensions:

• Demandez quelles sont les garanties de sécurité que votre [client] veut d'un logiciel, puis demandez si le logiciel les fournit.^{[la source]}
• Chaque logiciel doit être évalué avant d'acheter - c'est un non-sens. Seules les fonctions dédiées à la sécurité nécessitent une évaluation de la sécurité.^{[la source]}
• La licence ne dicte pas la qualité du code.^{[la source]}

Mes [boiteux] points:

• WordPress, comme tout autre logiciel Open Source, est un logiciel open source. Par conséquent, s’il est vulnérable aux menaces à la sécurité, il risque de s’effondrer depuis longtemps. Il est toujours florissant depuis 2003.
• WordPress se met à jour automatiquement avec les correctifs de sécurité après la version 3.7. Si votre code personnalisé recherche les dernières menaces pour la sécurité, des bogues dans votre code par des moyens connus [d'un petit groupe de codeurs] et qu'il est mis à jour constamment, vous êtes toujours derrière WordPress, car la sécurité de WordPress est gérée par un groupe énorme de globe [et est meilleur qu'un petit groupe].
• Et @cjbj a déjà fait le point, l'obscurité ne sécurise pas la chose .

Mayeenul Islam - Ce n'est pas un argument boiteux que vous faites concernant Open Source. Si nous considérons que Microsoft - l'un des plus grands développeurs et producteurs de logiciels et de systèmes au monde est également l'un des systèmes les plus envahis au monde - avoir un "code fermé" n'est en aucun cas plus sûr que de disposer d'une base de codes surveillée par centaines, sinon des milliers de développeurs et d'utilisateurs.

Si je me souviens bien, les plus gros problèmes en matière de sécurité ne sont généralement pas liés aux logiciels mais à leur mise en œuvre. Wordpress out of the box est aussi sécurisé que possible - mais les gens choisissent toujours un mot de passe stupidement facile à deviner - ou aucun mot de passe, ou exécutent des services sans HTTPS, etc. Vous pouvez le faire sur un système développé peu sûr.

Avoir un système aussi sécurisé que possible commence bien avant le choix du logiciel et de la plate-forme, mais commence par la mise en œuvre, la politique, en veillant à ce que vous sachiez ce que vous cherchez. Ensuite, choisissez une plate-forme qui a toujours bouché ses fuites et ses trous et, surtout, qui sait informer ses clients et la communauté de développement de ces problèmes. Si nous savons qu'il existe un problème - nous pouvons planifier et corriger en conséquence, si l'inverse est vrai - nous finissons par effacer et reconstruire.

Je me souviens de trous dans Windows qui avaient été découverts et remontaient à la version 3.1, étaient connus et laissés parce qu’ils étaient considérés comme "obscurcis".

Les solutions Open Source ne sont pas parfaites, mais de par leur définition même, il est beaucoup plus facile de trouver, repérer, signaler et corriger les défauts.

La question initiale - comment prouver qu'un système est sécurisé - vous ne le pouvez pas - aucun système n'a jamais été et ne sera jamais sécurisé. Au moment où une telle affirmation est faite, chaque pirate informatique dans le monde a un cas à prouver. Il est beaucoup plus raisonnable et honnête de comprendre que nous rendons les choses aussi sûres que possible et que nous développons des opérations et des moyens de travailler avec des systèmes qui favorisent un sentiment d'utilisation sécurisée.