La sécurité des systèmes de gestion de contenus (CMS)
Les CMS libres et « gratuits » ont le vent en poupe et sont déployés à grande échelle depuis de nombreuses années maintenant. Le nombre de sites web construits à partir d’un CMS se compte en centaines de millions (plus d’1/3 des sites mondiaux). Au moins 60% des sites basés sur un CMS utilisent WordPress, très loin devant Joomla, Drupal et Magento.
Un bien pour un mal
Le déploiement à grande échelle des CMS a l’avantage par leur popularité de les faire évoluer sans cesse grâce aux communautés de développeurs qui s’investissent sur ces logiciels. Le gros inconvénient du fait que le code source soit connu de tous, est que les failles de sécurité sont beaucoup plus « faciles » à détecter par un développeur ou un robot.
Il ne se passe pas une semaine sans qu’une faille de sécurité ne soit dévoilée sur un CMS ou une de ses extensions. On note heureusement que les correctifs sont mis à disposition assez rapidement néanmoins il faut lancer la mise à jour du CMS ou ses extensions défaillantes à chaque correctif. On s’aperçoit donc que même si un bug est « patché » rapidement encore faut-il que chacun assure la maintenance de son site internet.
Les conséquences du piratage de mon site
Selon la méthode utilisée et les intentions du ou des pirates les conséquences peuvent être multiples :
- changement des contenus du graphisme en accédant au backoffice du CMS
- installation de malwares qui infectent des ordinateurs ou qui redirigent les visiteurs vers un autre site
- envoie de SPAM à partir du site
- vol d’informations privées (contacts, informations bancaires, etc)
- mise à mal du référencement du site surtout si un changement de contenus n’est pas corrigé rapidement
- etc …
Il existe de nombreux tutoriaux qui détaillent pour chaque CMS la manière de parer aux attaques, nous ne les détaillerons pas ici. Néanmoins les meilleures armes contre le piratage sont d’une part d’éviter les CMS ouverts pour héberger des données sensibles et surtout de s’entourer d’une équipe de professionnels du web qui saura vous conseiller et vous suivre dans l’évolution de votre activité.
Pourquoi les CMS ouverts sont-ils plus vulnérables ?
Baser un site qui comporte des données confidentielles sur un CMS ouvert est donc risqué d’autant que tout n’est pas toujours mis en oeuvre pour parer aux attaques.
En effet, la grande majorité de ces sites ne sont pas mis à jour régulièrement avec les correctifs pour différentes raisons :
- les développements personnalisés sur des CMS libres peuvent ne plus être compatibles après une mise à jour et freinent souvent une mise à jour de sécurité
- il peut y avoir des problèmes de compatibilité ascendante des extensions qui parfois deviennent incompatibles après mise à jour du CMS
- les propriétaires des sites sont bien souvent incapables de suivre l’évolution des failles du CMS et de ses extensions
- de nombreux prestataires qui mettent en place ces sites internet n’assurent pas le suivi car trop souvent vendu peu cher et sans maintenance corrective et évolutive
Ce n’est donc pas uniquement le fait que le code soit ouvert qui induit le problème de sécurité, mais surtout la surveillance, la maintenance et le suivi qui sont trop souvent mal assurés.
Quelques liens pour approfondir …
- http://www.developpez.com/
- http://www.informanews.net/
- http://www.ya-graphic.com/
- http://www.lafabriquedunet.fr/
- http://www.journaldunet.com/
- http://www.maghrebemergent.info/
Taonix développe son propre CMS depuis plus de 12 ans et assure l’hébergement et la maintenance de ses solutions en interne. Le code source du CMS reste fermé et la propriété de Taonix, les données restent l’entière propriété de nos clients qui n’ont jamais eu à déplorer de piratage ou de vol de données. Votre prestataire informatique est garant et responsable de la bonne conservation de vos données privées.