par / LinkedIn 5 mn

CMS : la sécurité des plateformes Opensource à l’étude.

La sécurité des hébergements et des publications web est un sujet critique : Website hacked trend report 2016

La sécurité des hébergements et des publications web est un sujet critique, et de plus en plus. Sujet sérieux s’il en est et auquel nous sommes plus que sensibilisés ici à E SYSTEMES pour avoir assisté quelques uns de nos clients victimes de hackers sur leurs publications web WordPress et Joomla!.

En 2016, WordPress est de loin le CMS le plus ciblé par les cyberattaques. Cette étude de la société de sécurité californienne Sucuri, commentée par Coriolan sur developpez.com, fait le point sur les tendances les plus récentes dans la façon dont les sites web sont piratés et les principales techniques utilisées. Elle se base sur un échantillon de 9771 sites web infectés et analysés au deuxième trimestre de cette année.

En 2016, WordPress est de loin le CMS le plus ciblé par les cyberattaques.

Une fois encore, en parlant de victime, le très populaire WordPress est désigné dans l’étude comme la première cible de ces attaques malveillantes. On trouve aussi dans ce triste hit parade Joomla! du coté des CMS et Magento, très bien placé dans les plateformes de commerce en ligne. Cela ne laisse pas entendre que ces plateformes sont plus ou moins sécurisées que les autres. Dans la plupart des cas, le problème de sécurité n’a rien à voir avec le CMS lui-même, sont souvent en cause le déploiement, la configuration et la maintenance entreprise par les webmasters ou l’hébergeur.

Répartition des plateformes de sites web infectés 2ième trimestre 2016

Le problème du vaste déploiement de ces plateformes web est bien qu’elles présentent une cible de choix pour les hackers de tous poils qui “rentabilisent” leur malins efforts facilement, spectaculairement et à grande échelle. La parade, malheureusement loin d’être imparable, est de maintenir son CMS ou son site de commerce électronique constamment à jour. Ce qui n’est pas un problème pour une installation “standard” où le choix de ce type de moteur web peut-être pertinent.

Par contre dès qu’on s’éloigne du déploiement de base, en customisant les applications à force de plug-in et de fonctionnalités spécifiques, les mises à jour deviennent compliquées et risquées pour le site en production.

Le défi de ne pas être à jour découle de trois points principaux : les déploiements hautement personnalisés, les problèmes liés à la rétrocompatibilité et le manque de personnel pour aider durant la migration. Ces trois points tendent à rendre difficile le processus de mise à niveau et la correction de problèmes, ce qui immanquablement augmente son risque pour le site web d’être compromis sur le plan de la sécurité.

Le bon sens de l’opensource.

Il a bien un choix technique à faire dès la conception d’un site web. Un CMS opensource peut rester un bon choix pour une publication en ligne “de base”, et choisir WordPress pour son site ou Magento pour sa boutique en ligne est OK quand vous utiliserez les plateformes quasi telles quelles. Alors vous pourrez installer facilement les mises à jour de sécurité au fil du temps – attendez vous à ce qu’elle soient nombreuses – sans trop risquer de perturber votre site.

Mais si avoir le même site que les autres n’est pas dans vos objectifs, et dès que votre projet web a plus d’ambition, tant sur le plan graphique, quand un template du marché ne peut-être satisfaisant, dès que les fonctionnalités prévues nécessitent soit l’ajout ou le développement de plugins en nombre dans le déploiement. Votre intérêt pour la sécurité, et ne serait-ce que pour les coûts futurs de la maintenance, est bien de choisir d’autres solutions.

Tant qu’à personnaliser le développement informatique de votre site, personnalisez tout ! Et visez le développement spécifique. Mais, comme ces CMS populaires, un développement spécifique sur un socle technique opensource comme le PHP ou les bases de données mySQL… Comme nous le proposons chez E SYSTEMES. Conservez les avantages, sans les inconvénients : vous aurez plus de confort et de liberté pour vos choix fonctionnels, pour un coût finalement très comparable et premièrement un site web hors du scope de ces hackers.

Sur le web :
Le compte rendu de l’étude en français sur développez.com
Le document PDF original en anglais

Pour votre projet web envisagez Propulsion :
Plus qu’un CMS, le framework open-source by E SYSTEMES