G. NLO blog

I like tech and i share it

G. NLO blog

Les CMS sont très populaires, les attaques les ciblant aussi. Voici comment sécuriser un site web ou d’un blog basé sur un CMS

par · Publié · Mis à jour

Aujourd’hui lorsqu’on parle sites web la plupart des personnes pensent aux CMS. Leur simplicité d’utilisation fait sorte qu’ils soient accessibles même aux non informaticiens. Cependant leur popularité est également la source des graves problèmes auxquels ils sont exposés.

 

« Utiliser un CMS n’est pas sans risque pour nous et nos affaires

 

Les hackers en général sont des spécialistes du code. Ils sont bien informés et bien entrainés. La structure des principaux CMS étant publique, ils savent exactement comment fonctionne un site internet reposant sur tel ou tel autre CMS. Ce qui leur permet d’ajuster leurs attaques, afin de :

  • Dérober des données sensibles comme des identifiants et leurs mots de passe;
  • Voler des informations bancaires ou de cartes de crédit;
  • Ternir votre image en défigurant complètement votre site internet ;
  • Supprimer ou prendre en otage vos données ;
  • Etc.

 

Ce qui a entre autres pour conséquences :

  • Vous faire perdre de l’argent ;
  • Vous faire perdre de la crédibilité ;
  • Et bien que ce ne soit pas très connu, de rendre votre site internet inaccessible à partir des moteurs de recherche dont le très célèbre Google.

 

« Les plugins et les thèmes accentuent le niveau d’insécurité au sein des CMS

 

Bon nombre d’études foisonnent au sujet de la sécurité des plugins de CMS. Dans le cas de WordPress par exemple, en 2013, les laboratoires de recherche de Checkmarx ont effectué plusieurs analyses de sécurité sur le code source des plugins WordPress les plus populaires. Ils se sont rendu compte que plus de 20% des 50 plugins WordPress les plus populaires, sont vulnérables aux attaques Web courantes. Dont en majorité les injections SQL et les attaques de type « Cross-site Scripting ».

 

Les thèmes ne sont pas en reste. En effet, la WPScan Vulnerability Database indique que les vulnérabilités provenant des thèmes constituent 14,3% de toutes les vulnérabilités liées au CMS WordPress. La part du lion revenant aux plugins (46%) et ensuite au cœur de WordPress lui-même (31,5%).

 

« Quelles que soient les technologies déployées, les pratiques des utilisateurs présenteront toujours  un risque majeur pour la sécurité d’un site web

 

L’utilisation des mots de passe faibles facilitent la tache aux hackers, lorsque ces deniers entreprennent des attaques de type force brute. L’incursion d’un hacker dans votre site avec les privilèges administrateurs, peut lui permettre de tout faire ou presque. Il peut aller jusqu’à transformer votre site en distributeur de malwares à votre insu, et à l’insu de vos utilisateurs (pauvres victimes). Il peut également y laisser du code pour en faire un « zombie » pour une éventuelle opération DDoS.

 

Règles générales à suivre afin de protéger son CMS

 

Le listing suivant pour la protection de son CMS est loin d’être exhaustif:

  • Faire des mises à jour régulières qui permettront de corriger le plus rapidement possible les vulnérabilités identifiées au cœur du CMS, dans les thèmes et les plugins ;
  • Faire des sauvegardes régulières (au minimum chaque weekend) de tous les fichiers composant votre site internet plus la base de données ;
  • Rester informé de la liste des dernières vulnérabilités spécifiques à votre CMS et à tous les plugins et thèmes que vous utilisez;
  • Protéger la connexion à votre site à l’aide du chiffrement en faisant usage des certificats numériques ;
  • Seuls les plugins nécessaires au fonctionnement de votre site doivent y être installés (éliminez le superflu) ;
  • Changer les paramètres par défaut dont l’identifiant de l’administrateur (admin, Admin, ADMIN, …) et utiliser des mots de passe forts combinant l’utilisation des caractères numériques, alphanumériques et spéciaux ;
  • Utiliser des plugins reconnus pour vous fournir une authentification forte.

 

Vous pourrez également installer un parefeu applicatif éprouvé. Ceci afin de fournir une première ligne de défense à votre site. Compte tenu du fait que sécuriser un site internet demande du temps et des efforts permanents, n’hésitez pas à faire recours aux services d’un professionnel.

 

Les CMS sont pratiques et populaires mais les exploits y relatifs le sont davantage. Lorsqu’un site WordPress, Joomla ou Drupal subit une attaque même à l’autre bout du monde, vous êtes de facto concernés. De bons outils et de bonnes pratiques limiteront les chances d’un hacker de vous mettre « down ». Alors prenez votre sécurité en main, et surtout d’oublier pas que sécuriser un site internet est loin d’être une opération ponctuelle, c’est un processus. Ce qui est dit dans cet article concerne tous les CMS. Cependant chaque d’eux a une conception qui lui est propre. Vous pourrez renforcer votre sécurité en explorant davantage celui que vous utilisez ou souhaitez utiliser.

Étiquettes :

%d blogueurs aiment cette page :