Nous avons interviewé Greg Boone, responsable de compte technique de longue date chez WordPress VIP, sur le travail avec le secteur public et les agences gouvernementales fédérales pour créer des expériences Web sécurisées et fiables pour leur public. Voici ce qu’il avait à dire sur certaines des FAQ de sécurité de VIP.
Abordons l’une des idées fausses les plus courantes sur WordPress et les logiciels open source : sont-ils sûrs pour les entreprises ?
WordPress n’étant pas sécurisé est un mythe populaireen partie parce que le logiciels open source alimente une grande partie du Web. Quand quelque chose fait se tromper dans WordPress Core, ou si une vulnérabilité est trouvée dans un plugin, cela peut potentiellement affecter des millions de sites et d’utilisateurs.
Les risques de sécurité ne sont pas propres à WordPress ou aux systèmes open source. Tous systèmes de gestion de contenu (CMS) et les plugins, lorsqu’ils sont obsolètes, deviennent vulnérables. Encore une fois, en raison de la part de marché détenue par WordPress, il fait l’objet d’un examen plus approfondi.
La mise à l’échelle introduit de la complexité
Il n’y a pas beaucoup de règles strictes et rapides sur l’exécution de WordPress à grande échelle, en particulier pour l’entreprise. Lors de la mise à l’échelle d’un système, vous devez considérer les risques d’inviter un grand nombre de visiteurs sur votre site.
Pour que WordPress réponde efficacement à des millions de requêtes par minute, les entreprises finissent souvent par ajouter continuellement plus de services et d’intégrations : pare-feu d’applications Web, serveurs de bases de données, serveurs de mise en cache, fournisseur d’authentification unique, gestionnaires d’actifs numériques, systèmes de sauvegarde, etc.
Étant donné que certaines intégrations nécessitent des plugins pour que les systèmes communiquent entre eux, elles peuvent introduire plus complexité, créant de nouveaux risques qui doivent être gérés tout en impactant la célèbre réputation de simplicité de WordPress.
Pourquoi WordPress VIP est-il différent et qu’est-ce qui le distingue de WordPress prêt à l’emploi ?
WordPress VIP gère une grande complexité d’entrepriseles risques, l’infrastructure et la fiabilité du site, afin que vous puissiez vous concentrer sur les besoins urgents de vos applications d’entreprise.
Notre documentation publique sur la sécurité est un excellent point de départ pour quiconque s’inquiète de la sécurité VIP de WordPress. Il décrit chaque mesure de sécurité que nous prenons de haut en bas, y compris comment VIP travaille en tandem avec nos clients pour assurer la fiabilité et la sécurité des sites.
“Nous voulions utiliser WordPress, et le fait que WordPress VIP était la seule option WordPress avec l’autorisation d’exploitation FedRAMP (ATO) en a fait une option solide pour nous en tant qu’agence gouvernementale.”
—Kristen Loflin, responsable des relations publiques, Marine Corps Marathon Organization
Voici un exemple : Certificats TLS (Transport Layer Security) coûtent de l’argent, ils expirent et ils doivent être surveillés pour le renouvellement. Un de mes clients m’a dit que le processus de renouvellement était un processus de plusieurs jours et multipartite, avant de migrer vers VIP. Ils ne le faisaient que quelques fois par an, en partie parce que le processus était si fastidieux. Maintenant, ils le font tous les trois mois sans réfléchir car c’est intégré à notre plateforme.
“Héberger un site Web sur VIP signifie que ces employés disposent d’une meilleure plate-forme qui ne charge pas les équipes informatiques avec une maintenance de routine.”
—Greg Boone, responsable de compte technique, WordPress VIP
Un autre exemple est la protection des composants individuels les uns contre les autres. Votre CMS ne doit pas être un « voisin bruyant » vivant à côté de votre application principale ou d’un système critique. Vous souhaitez également protéger votre base de données CMS du frontal dynamique et vice versa. Avec VIP, vous peut obtenez des fonctionnalités de sécurité et de fiabilité supplémentaires dès la sortie de la boîte.
Notre couche de cache robuste garantit que peu de demandes de visiteurs réels atteignent directement les serveurs PHP et de base de données. Mettre cela en place et le faire bien ne se fait pas vraiment du jour au lendemain. Nous avons toute une équipe qui conçoit, met à jour et sécurise notre infrastructure.
Rien de tout cela ne veut dire que le personnel informatique de nos clients ne peut pas fais ça. Beaucoup ont des ingénieurs extrêmement compétents. Au lieu de cela, ils peuvent mettre ce personnel au travail pour concevoir et protéger des propriétés Web de plus grande valeur, ou atténuer les risques plus graves à leur organisation.
Les meilleures entreprises faire fonctionner le web avec VIP.
Salesforce le fait. Facebook le fait. Al Jazeera le fait.
Pourquoi les grandes organisations du secteur public et gouvernementales comme la VA et la Maison Blanche font-elles confiance à WordPress VIP pour gérer leurs sites Web ?
Pour de nombreux clients, faire confiance à VIP avec leur site web signifie éliminer le travail et les risques afin qu’ils puissent se concentrer sur leur mission, une valeur ajoutée massive pour leurs équipes.
Le département américain des affaires des anciens combattants, par exemple, a besoin que son personnel informatique et d’ingénierie logicielle se concentre sur l’amélioration et le développement de ses services de prestations pour les anciens combattants. Les organisations gouvernementales ont des problèmes plus urgents que de s’inquiéter des détails complexes de leur configuration Web. Cela ne veut pas dire que ces actifs Web ne sont pas importants, ils le sont ; mais les compétences et les ressources nécessaires à la sécurisation des applications d’entreprise sont rares.
“La sécurité, la confiance, l’expertise, c’est ce qui nous a amenés à WordPress VIP.”
—Andrew Binns, directeur de l’exploitation, Convention nationale démocrate de 2020
Pourquoi les agences fédérales sont différentes
L’une des principales choses que les agences fédérales besoin que les clients privés ne sont pas Autorisation FedRAMP. FedRAMP est essentiellement un centre d’échange de fournisseurs de services cloud que les agences gouvernementales fédérales ont évalué et sanctionné pour utilisation. Il s’agit d’un programme rigoureux permettant à une entreprise d’obtenir le feu vert des vérificateurs fédéraux tiers.
VIP est devenu un fournisseur de services cloud agréé FedRAMP en 2021. Lorsque je me souviens de certains des CMS que j’ai rencontrés dans mon agence gouvernementale avant de venir chez VIP, je pense à quel point nous aurions bénéficié d’un fournisseur de services autorisé et digne de confiance.
Nous avons déployé énormément d’efforts pour maintenir les sites en ligne et performants pour les utilisateurs, mais nous n’avons pas toujours apporté de valeur aux clients. Nous avions beaucoup de processus et d’infrastructures similaires à ce que nous avons ici chez VIP, mais nous avions également un flux de travail de publication compliqué qui ralentissait les créateurs de contenu. Cela laissait peu de temps ou d’énergie pour construire une expérience éditoriale plus robuste.
Nous avons eu la chance d’avoir le personnel pour fournir ce genre de soutien. Les agences ou les bureaux de programme qui ne le font pas peuvent se retrouver avec une liberté extrêmement limitée pour publier ce dont ils ont besoin et comment ils souhaitent le publier. Parfois les deux.
Ce n’est pas par manque d’intérêt, mais l’embauche de personnel et l’achat d’outils dédiés à la maintenance du site sont limités. Souvent ceux des ressources limitées sont dirigées vers des besoins plus critiques: remise des prestations, entretien des parcs nationaux, administration des subventions et des baux, sécurité publique, traitement des demandes de citoyenneté, etc.
En d’autres termes, le travail du gouvernement vient en premier. Certes, la communication publique fait partie de ce travail. L’hébergement d’un site Web sur VIP signifie que ces employés disposent d’une meilleure plate-forme qui ne charge pas les équipes informatiques avec une maintenance de routine.
Comment les équipes d’assistance VIP fournissent-elles une sécurité supplémentaire aux agences fédérales ?
En fournissant une base stable pour leur pile WordPress et en limitant les préoccupations des clients. Nous connaissons aussi nos affaires.
Par exemple, nous suggérons toujours d’utiliser Git pour le contrôle de version de vos thèmes et plugins WordPress plutôt que de les installer directement depuis notre wp-admin. Si les clients nous demandent conseil, nous sommes tout à fait francs dans notre point de vue.
Hannah Flom, directrice des communications numériques pour le DNCC 2020partagé certains de mes commentaires préférés à propos de notre équipe d’assistance:
“L’un des meilleurs aspects du travail avec l’équipe WordPress VIP était le service client et la réactivité”, a-t-elle expliqué. “Nous avons rencontré des problèmes avec le back-end de notre site. Notre équipe de développement Web a travaillé directement avec WordPress VIP et a obtenu un service client incroyablement réactif pour résoudre le problème très rapidement.
En fin de compte, les agences fédérales ont besoin d’une équipe en qui elles peuvent avoir confiance pour leurs propriétés Web. Parce que nous travaillons plus comme un partenariat que comme un fournisseur, nos clients savent que nous les soutenons.