Professionnel WordPress : Entretien avec le PDG de WP White Security, Robert Abela
Publié: 2021-04-10
Robert Abela, qui es-tu ?! Merci de vous présenter!
Je m'intéresse aux ordinateurs depuis que je suis enfant. Quand j'avais environ 8 ou 9 ans, mon oncle a ramené un Atari à la maison, et nous avions l'habitude de jouer dessus.
Depuis, mon intérêt s'est accru, et j'ai eu mon premier ordinateur (Amiga 500+) sur lequel j'ai utilisé pour écrire quelques programmes de base.
Puis le PC est arrivé (j'avais un 486 DX4), puis internet. Après avoir cassé mon ordinateur trop de fois, j'ai abandonné l'école d'ingénieur en électronique et j'ai décroché mon premier emploi en informatique en tant que testeur de logiciels dans une société internationale de logiciels. 14 ans après avoir décroché mon premier emploi en entreprise, j'ai fondé ma propre entreprise, WP White Security.

Comment avez-vous commencé à utiliser WordPress ? C'était quand et qu'est-ce que tu faisais avec ?
J'ai découvert WordPress lors de mon dernier emploi à temps plein en tant que chef de produit chez Acunetix. Nous avions besoin d'un blog pour documenter nos résultats de recherche et avons commencé à utiliser WordPress.
Une fois que nous avons commencé à utiliser WordPress, nous avons remarqué qu'il y avait beaucoup d'opportunités dans l'industrie de la sécurité WordPress. Comme nous étions une société de logiciels de sécurité des applications Web, nous avons même créé un service de sécurité WordPress appelé Website Defender. Malheureusement, le produit n'a jamais décollé, mais je l'ai considéré comme une bonne occasion pour moi d'en apprendre encore plus sur l'écosystème WordPress.
Tout cela a suffi à me rendre accro et c'est ainsi que l'idée de WP White Security est née. Comme mon expérience précédente était dans la sécurité, j'ai lancé WP White Security en tant que blog sur la sécurité . Nous avons également proposé des services de sécurité WordPress tels que le nettoyage de sites Web piratés, l'audit du code source, le renforcement de la sécurité des sites Web WordPress et d'autres tâches similaires.
Plus tard, j'ai commencé à apprendre à écrire du code et j'ai eu le cas d'utilisation parfait : un plugin de journaux d'activité WordPress. J'ai toujours souhaité que les propriétaires de sites Web aient un tel plugin installé avant que leur site Web ne soit piraté. Cela aurait rendu la vie beaucoup plus facile à l'époque !
C'était toute la motivation dont j'avais besoin pour commencer à développer la première version de WP Activity Log. Lorsque le plugin a commencé à prendre de l'ampleur, nous avons cessé de fournir des services de sécurité et nous nous sommes entièrement concentrés sur le développement de plugins WordPress. Le reste appartient à l'histoire.
Vous avez développé plusieurs plugins de sécurité. Pourquoi avez-vous décidé de vous concentrer sur WordPress ?
Tout s'est fait naturellement.
Depuis que j'ai une formation dans la sécurité des applications, j'ai toujours travaillé auparavant pour des éditeurs de logiciels de sécurité. Lorsque j'ai découvert WordPress chez Acunetix, j'ai vu une bonne opportunité de m'impliquer et de faire quelque chose sur WordPress.
Je n'ai jamais vraiment regardé d'autres projets CMS (tels que Joomla, Drupal, etc.) principalement parce que ça faisait du bien de faire quelque chose sur WordPress, d'être impliqué dans la communauté et potentiellement de se faire de nouveaux amis, ce qui est exactement ce qui s'est passé.
Quels sont les points forts et les points faibles de ce CMS ? WordPress est-il sûr ? Pourquoi les gens devraient-ils investir dans un plugin de sécurité ?
Selon moi, les points forts de WordPress sont :
- Il est très bien supporté et documenté
- Il est soutenu par une grande et incroyable communauté
- Le noyau de WordPress est très stable, fréquemment mis à jour et bien entretenu
- Grâce aux tonnes de plugins et de thèmes, vous pouvez créer tout type de site Web avec WordPress
Le noyau de WordPress est très sécurisé. Les problèmes de sécurité les plus courants avec les sites Web WordPress sont causés par les propriétaires/administrateurs du site. Par exemple;
- Les sites Web sont mal gérés et ont des plugins inutiles installés, des logiciels obsolètes, des privilèges d'utilisateur mal attribués, des mots de passe faibles, etc.
- Les utilisateurs sans expérience ne savent pas ce qui est nécessaire pour sécuriser un site WordPress.
Franchement, garder un site sécurisé n'est pas sorcier. Il s'agit principalement de suivre certaines bonnes pratiques de sécurité de base.
Pourriez-vous partager 5 astuces rapides pour renforcer la sécurité d'un site WordPress ?
- Gardez tout à jour, y compris les plugins, les thèmes et bien sûr la version de WordPress. Cela s'applique également à votre ordinateur, votre smartphone et tout autre appareil que vous possédez.
- Attribuez les bons privilèges. Les rôles d'utilisateur WordPress ont un rôle important à jouer dans la sécurité globale de votre site Web. Le simple fait d'attribuer trop de capacités à la mauvaise personne peut avoir des conséquences potentiellement désastreuses.
- Recherchez les plugins avant de les installer. De plus, n'installez que les plugins dont vous avez besoin. Certaines choses à garder à l'esprit lors du choix des plugins pour votre site Web WordPress sont : les évaluations des plugins, les avis des utilisateurs, le nombre d'installations actives du plugin, le support, la réactivité des développeurs et la documentation.
- Durcissement – il y a beaucoup à faire en matière de durcissement de WordPress. Cependant, vous pouvez commencer par quelques étapes simples, telles que la mise en œuvre de 2FA, l'amélioration de la sécurité des mots de passe et la désactivation de ce dont vous n'avez pas besoin.
- La sécurité doit faire partie de vos tâches quotidiennes. La sécurité de WordPress n'est pas une solution ponctuelle, mais un processus de test constant de vos défenses et d'itération pour améliorer la sécurité de votre site Web.
Concentrons-nous sur vos plugins : Pourquoi avez-vous créé WP Activity Log ?
J'ai eu l'idée à l'époque où je nettoyais des sites Web piratés. Je pensais que les logs sont essentiels pour gérer un site web, mais sont également utiles lors de travaux médico-légaux, où ils peuvent vous aider à comprendre ce qui s'est passé et ce qui a été exploité.

Étant donné que WordPress n'a pas de journaux, j'ai commencé à développer WP Activity Log. À ce jour, nous avons six plugins, qui se concentrent tous sur la sécurité WordPress et la gestion des utilisateurs.
WP Activity Log : un plugin complet de surveillance des utilisateurs et de journal d'activité en temps réel qui aide des milliers d'administrateurs WordPress et de professionnels de la sécurité à garder un œil sur ce qui se passe sur leurs sites Web.
Password Policy Manager : ce plugin vous permet de configurer des politiques de mot de passe fortes pour votre site WordPress et votre réseau multisite.
WP 2FA : un plugin d'authentification à deux facteurs facile à utiliser avec lequel vous pouvez renforcer la sécurité de votre connexion utilisateur WordPress en quelques secondes seulement.
Website File Changes Monitor : un plug-in de surveillance de l'intégrité des fichiers avec une technologie intelligente exclusive qui reconnaît les modifications du noyau, des plug-ins et des thèmes de WordPress, de sorte qu'il ne déclenche pas de fausses alarmes de modifications de fichiers légitimes.
Journaux d'activité pour MainWP : il s'agit d'une extension MainWP que les administrateurs et les agences utilisent pour garder un œil sur ce qui se passe sur les sites enfants à partir d'un portail central - le tableau de bord MainWP.
Admin Notices Manager : ce plugin gère les avis d'administration dans votre tableau de bord WordPress. L'idée est simple, avoir un tableau de bord sans distraction et lire les avis d'administration à votre convenance, et ne jamais manquer un message important du noyau ou du développeur de WordPress.
De temps en temps, les gens nous demandent pourquoi nous développons des plugins à usage unique au lieu d'un plugin de sécurité "générique". L'une des raisons est la facilité d'utilisation. Les plugins de sécurité génériques peuvent être un peu écrasants pour les utilisateurs.
Lorsque vous développez un plugin à usage unique, vous pouvez vous spécialiser dans ce domaine et vous concentrer sur la création de fonctionnalités plus robustes, ce qui est bien sûr bon pour les utilisateurs ayant des besoins spécifiques. C'est la même chose avec tout le reste. Prenons comme exemple l'analogie entre l'appareil photo du smartphone et le DSLR ; même si de nos jours la plupart des téléphones ont de bons appareils photo, vous ne pouvez pas comparer un tel appareil photo à un reflex numérique, car quelle que soit la qualité de votre téléphone avec appareil photo, il n'aura jamais la polyvalence, les fonctionnalités et les options d'un appareil photo numérique.
Comment voyez-vous WordPress évoluer dans le futur ?
WordPress a commencé comme une humble plate-forme de blogs, et aujourd'hui, il est utilisé pour les blogs, les sites Web, les solutions de commerce électronique, ainsi que comme solution backend pour de nombreux projets Web.
Sa part de marché augmente également rapidement, donc l'avenir est certainement intéressant.
Plus il est largement adopté, plus il suscite d'intérêt. Cela signifie que davantage d'entreprises investiront dans l'écosystème WordPress, ce qui conduit généralement à plus d'innovation , de nouveaux produits et de nouvelles façons de l'utiliser, plus d'intégrations et surtout, un WordPress plus sécurisé.
Qu'en est-il du journal d'activité WP ?
Cette année, nous nous concentrons sur la refactorisation du cœur du plugin et de ses fonctionnalités. En plus de cela, étant une solution de journal d'activité, nous nous concentrons également sur les intégrations, ce dont les grandes entreprises ont besoin.
Par exemple, écrire des journaux sur des solutions tierces, des intégrations avec des solutions telles que Splunk et des systèmes de journalisation centralisés.
En plus de cela, nous avons également une feuille de route intéressante pour tous les autres plugins, en particulier WP 2FA. Cette année, nous ajouterons beaucoup de nouvelles fonctionnalités, alors restez à l'écoute !