par | 24 Mar 2015

Les CMS, une cible de choix pour les hackers

Le CMS (Content Management System pour Système de Gestion de Contenu), généraliste ou spécialisé, est devenu l’outil incontournable de la présence des entreprises sur Internet en raison de leur facilité de mise en oeuvre et de leur facilité d’administration. Les plus populaires, WordPress, Joomla et Drupal représentent à eux seuls 75% de tous les CMS actuellement en ligne. Comme l’a démontré la campagne de piratage de sites web qui a frappée la France en Janvier 2015, ils sont également la cible la plus fréquente des attaques sur Internet. Effectivement, 73% des installations WordPress contiennent des vulnérabilités logicielles connues mais non corrigées. Les cybercriminels sont depuis longtemps conscients de cette opportunité : 170 000 sites WordPress ont été attaqués l’an dernier.

D’où viennent les vulnérabilités des CMS ?

D’où viennent les #vulnérabilités des #CMS ? Cliquez pour tweeter

La popularité des CMS WordPress, Joomla et Drupal pourrait laisser croire en leur sécurité. Pourtant, le fait qu’ils soient open source (donc avec un code en libre accès) rend la détection des vulnérabilités plus aisée pour les hackers : de par leur manque de supervision et leur gratuité, il n’est pas surprenant d’observer des failles de sécurité. Les hackers cherchent activement ces failles, qui peuvent devenir des mines d’or virtuelle, et concentrent leurs efforts sur les CMS les plus populaires pour mener des attaques à grande échelle.

En choisissant des mots de passe faibles, les administrateurs de site s’exposent encore davantage aux attaques. Les hackers injectent des malwares dans les sites pour faire d’eux des zombies DDoS. Mais avec l’accès admin, ils peuvent aussi défigurer et défacer un site, ou distribuer des malwares, ce qui placera le site sur la liste noire de Google et des autres moteurs de recherche. Les vulnérabilités d’un site web ont un impact négatif sur le référencement naturel.

Autre source de vulnérabilités : les plugins et thèmes CMS. Souvent crées par des développeurs différents, ils sont des vecteurs d’introduction de vulnérabilités. Plus un plugin ou un thème est populaire, plus les hackers passeront du temps à identifier des vulnérabilités potentielles pour toucher le plus de sites web possibles.

Une étude récente a démontré que plus de 20% des 50 plugins WordPress les plus populaires sont vulnérables aux hackers (lire Pourquoi les plateformes de Gestion de Contenu (ou CMS) sont en train de créer d’importantes failles de sécurité sur JDN). Or 8 millions de plugins ont été téléchargés depuis WordPress à lui seul, et la plupart des utilisateurs possèdent au moins 3-4 plugins sur leur CMS, ce qui les exposent largement aux cyber-attaques.

Quelles solutions pour protéger son CMS ?

Quelles solutions pour protéger son #CMS ? Cliquez pour tweeter

Voici quelques pistes qui vous permettront d’optimiser la sécurité de votre CMS dans un premier temps :

  • Supprimer votre compte « admin » par défaut, cible de nombreuses attaques, en le remplaçant par un compte nommé différemment, comportant les mêmes paramètres,
  • Augmenter la complexité de vos identifiants et mots de passe (combinant minuscules, majuscules, chiffres et caractères spéciaux), avoir un mot de passe unique pour chaque plateforme,
  • Utiliser un plugin pour des authentifications poussées, ou une authentification à deux facteurs,
  • Changer le préfixe de votre base de données, par défaut wp_ pour WordPress, qui est conservé à 99% par les utilisateurs et donc ciblé par les hackers,
  • Sauvegarder votre CMS de manière hebdomadaire, vous trouverez facilement une solution ou un plugin de sauvegarde automatique avec une fonction d’export et d’import des données
  • Appliquer les correctifs de sécurité et de mise à jour régulièrement (CMS, plugins et thèmes).

Existe-t-il une solution de sécurité avancée et facile à mettre en place ?

Une solution de #sécurité avancée et facile à mettre en place Cliquez pour tweeter

Sur ce dernier point, OZON apporte une réponse opérationnelle pour toutes les entreprises qui n’ont pas les moyens de tester et appliquer les correctifs de sécurité au fil de l’eau. Active en quelques minutes, la solution utilise le Cloud comme un levier pour analyser les flux, bloque les attaques et corrige les vulnérabilités. OZON permet de bloquer le top 10 des failles de sécurité des CMS dont voici les 5 premières composantes :

  1. L’injection SQL pour accéder à des données non autorisées telles que les données clients hébergées directement dans votre CMS,
  2. Les attaques Cross-Site Scripting (XSS) via l’exécution de scripts malicieux dans le navigateur, notamment dans les formulaires présent dans de nombreux CMS (formulaires d’inscription et barres de recherche),
  3. Les attaques par DDos qui ont pour but de rendre indisponible un site web / CMS, et qui vont nuire à votre activité commerciale, notoriété et visibilité en ligne,
  4. L’utilisation de composants avec des vulnérabilités connues comme les plugins et thèmes,
  5. Une mauvaise configuration de sécurité laissant place à de nombreuses vulnérabilités et qui feront la joie des hackers.

Pour vous convaincre, OZON vous permet de tester gratuitement et sans engagement sa solution de cybersécurité pendant 30 jours.

Articles supplémentaires sur les vulnérabilités des CMS

Share This