Sécurité
Nous prenons la sécurité de WordPress et de son écosystème au sérieux. Alors que nous avons plus de 20 ans d’histoire et en tant que logiciel propulsant plus de 43% du web, nous sommes engagé·e·s dans la sécurité numérique au services de toutes et tous, des personnes utilisant WordPress pour leur blog aux grandes entreprises et organisation qui l’utilisent dans le cadre d’activités les plus diverses.
WordPress encourage la divulgation responsable des vulnérabilités trouvées dans le cœur WP, dans les extensions et les thèmes disponibles sur WordPress.org et plus largement dans l’écosystème WP dans son ensemble.
Si vous pensez avoir trouvé une vulnérabilité dans le cœur du CMS, merci de garder cela confidentiel et de la signaler à l’équipe de sécurité de WordPress.
Si vous pensez avoir trouvé une vulnérabilité dans une extension ou dans un thème disponible sur WordPress.org, merci de garder cette information confidentielle.
- Pour les vulnérabilités qui concernent des extensions, signalez-les aux personnes qui développent cette extension ou à l’équipe de validation des extensions sur le répertoire WP.
- Pour les vulnérabilités qui concernent des thèmes, signalez-les aux personnes qui développent ce thème ou à l’équipe de validation des thèmes sur le répertoire WP.
Notre fonctionnement
Le projet WordPress s’engage à fournir une plateforme stable, sécurisée et digne de confiance à plus de 43% du web. Le cycle de vie du cœur du logiciel WordPress (en anglais) comprend des revues de code tout au long de son processus de développement, avec des contributions open-source validées par des committers de confiance.
L’équipe de sécurité de WordPress travaille à identifier et résoudre les problèmes de sécurité rencontrés sur le logiciel, à renforcer sa sécurisation contre les menaces listées dans le Top 10 OWASP, ainsi qu’à aider l’écosystème à travers des bonne pratique documentées (en anglais).
En plus d’une cinquantaine d’experts de confiance comprenant les développeur·euse·s du CMS, des chercheurs en sécurité informatique et les personnes contribuant à chaque composant de WordPress, de nombreux membres de l’équipe de sécurité de WordPress sponsorisés par l’écosystème disposent d’un temps dédié à l’identification et à la résolution des vulnérabilités trouvées dans WordPress et dans son écosystème.
Pour gérer les vulnérabilités divulguées de façon responsable, l’équipe de sécurité travaille sur le développement de correctifs, sur la création de tests robustes et sur la sortie de versions de sécurité. Bien que seule la dernière version majeure du CMS ne soit officiellement supportée par WordPress, l’équipe de sécurité déploie aussi par courtoisie des correctifs de sécurité sur les plus vieilles versions du CMS, afin d’assurer que même les sites les plus anciens puissent recevoir les correctifs de sécurité les plus critiques par le biais des mises à jour automatiques.
L’équipe de sécurité travaille aussi directement avec les principaux hébergeurs web et l’écosystème gravitant autour de la sécurité informatique pour détecter et résoudre les menaces de sécurité pesant sur les sites tournant sur WordPress. Cela comprend la coordination des sorties de versions et le développement de firewall applicatifs (WAF).
Apprenez-en davantage sur la politique du projet WordPress sur la sécurité en lisant notre livre blanc dédié (en anglais).
Développeuses et développeurs d’extensions
Le guide dédié à la sécurité de la documentation des API communes de WP (en anglais) regroupe un grand nombre de ressources sur les principes de sécurité sur vos développements.
Si vous pensez avoir identifié un problème de sécurité sur une extension, l’équipe de validation des extensions sur WordPress.org est là pour vous aider.
En savoir plus sur la gestion des problèmes de sécurité de vos extension (en anglais)
Développeuses et développeurs de thème
Le guide dédié à la sécurité de la documentation des API communes de WP (en anglais) regroupe un grand nombre de ressources sur les principes de sécurité sur vos développements.
Si vous pensez avoir identifié un problème de sécurité sur un thème, l’équipe de validation des thèmes sur WordPress.org est là pour vous aider.
En savoir plus sur la gestion des problèmes de sécurité de vos thèmes (en anglais)
Hébergements web
La section Sécurité du guide avancé d’administration (en anglais) contient des informations importantes pour vous aider à sécuriser votre environnement serveur.
Nous vous recommandons aussi fortement de disposer de votre propre politique de divulgation responsable (en anglais).