par | 23 Juin 2015

Faut-il faire confiance aux thèmes et plugins premium ?

De nombreuses PME et boutiques en ligne ont recours à des CMS avec une multitude de thèmes et plugins premium pour promouvoir leur plateforme en ligne. Il est tentant d’utiliser la dernière technologie à la mode pour offrir de nouvelles fonctionnalités à ses internautes et se démarquer des concurrents, mais à quel prix ? Découvrez dans cet article les risques des thèmes et plugins premium, ainsi que les solutions appropriées pour protéger votre CMS des hackers.

Un processus de développement accéléré et dangereux

#plugins #thèmes : un processus de #développement accéléré et dangereux Cliquez pour tweeter

Au cours du processus de développement d’une application ou d’un thème pour CMS (WordPress, Magento, Prestashop…), les développeurs se concentrent sur l’ajout de nouvelles fonctionnalités, la réduction des coûts et du temps de développement pour satisfaire au mieux les attentes de sa communauté.

Les développeurs négligent les conséquences dramatiques d’un développement accéléré sur la sécurité de leurs produits. Et c’est votre responsabilité qui est exposée en utilisant leurs produits pour promouvoir votre activité en ligne.

Le plus souvent la mise en production des thèmes/plugins est faite avec des vulnérabilités exploitables.

Le plus souvent la mise en production des thèmes/plugins est faite avec des vulnérabilités exploitables. Les pirates prennent le dessus et identifient très facilement les failles laissées par les développeurs. Sans oublier que plus la notoriété d’un thème ou d’un plugin est grande, plus les pirates sont attentifs, et plus les risques sont élevées (cf article : Les CMS, une cible de choix pour les hackers).

Je suis sûr que vous utilisez ou avez déjà utilisé un plugin de la liste suivante ?  Jetpack, WordPress SEO, Google Analytics by Yoast, All In one SEO, Gravity Forms, UpdraftPlus, WP-E-Commerce, WPTouch, Download Monitor, Related Posts for WordPress, My Calendar, P3 Profiler, Give, iThemes products, Broken-Link-Checker, Ninja Forms. Pourtant l’ensemble de ces plugins ont connu une ou plusieurs vulnérabilités ces derniers mois.

Les risques des thèmes et plugins premium

Les #risques des #thèmes et #plugins premium Cliquez pour tweeter

On a tendance à faire confiance aux développeurs de thèmes et plugins premium pour fournir une solution sécurisée. Mais ce n’est pas leur métier et si aucune précaution particulière n’est prise, les conséquences peuvent être dramatiques pour votre plateforme eCommerce.

On a également tendance à croire que le fait d’avoir ses plugins et thèmes à jour est suffisant pour se prémunir des attaques web. Est-ce vraiment le cas ?

On a également tendance à croire que le fait d’avoir ses plugins et thèmes à jour est suffisant pour se prémunir des attaques web. Est-ce vraiment le cas ? Le plus plus souvent quand vous achetez un thème premium (sur Envato ou Themeforest par exemple), celui-ci contient des plugins en bonus (Visual Composer, Revolution Slider,  LayerSlider…), qui habituellement sont payants. Jusque là tout va bien, mais quand une mise à jour du plugin bonus est disponible vous n’êtes pas prévenu car vous n’y avez pas le droit. C’est à vous de vérifier manuellement que votre plugin est à jour et s’il ne l’est pas, d’acheter le plugin pour en bénéficier…

capture themeforest premium plugins

Source de l’image : thème WP SEO sur Themeforest.com

A défaut de pouvoir mettre à jour ce plugin ou d’être au courant de cette mise à jour, vous avez de fortes chances d’être vulnérable à une injection SQL ou à une attaque par Cross Site Scripting (XSS). Si vous ne connaissez pas ces termes, je vous invite à lire cet article listant les attaques potentielles pour les CMS.

Il est fort probable que des vulnérabilités existent dans vos thèmes/plugins utilisés et qu’elles puissent impacter l’intégrité, la confidentialité, et la disponibilité de votre eCommerce.

Ces attaques permettent aux pirates de modifier le contenu d’un site web, ou encore de voler les données critiques du système. Si vous êtes un eCommerce, cela peut se traduire par une perte importante de vos revenus. Il est fort probable que des vulnérabilités existent dans vos thèmes/plugins utilisés et qu’elles puissent impacter l’intégrité, la confidentialité, et la disponibilité de votre eCommerce.

Sans oublier que les CMS sont initialement conçus pour permettre de partager de l’information le plus librement possible et les mécanismes de sécurité (authentification, transaction financières, HTTPS) ne sont pas natifs.

Les solutions pour protéger son CMS des hackers

Les solutions pour protéger son #CMS des #hackers Cliquez pour tweeter

A défaut de développer un site statique qui nécessiterait des coûts de développement et de gestion élevés sans pour autant vous prémunir des failles, voici les outils qui peuvent aider à assurer la protection de votre CMS :

Un parefeu applicatif web : pour filtrer le trafic entrant et protéger contre les attaques sophistiquées. L’utilisation d’un parefeu applicatif web n’est pas suffisant pour se protéger. Il nécessite des compétences techniques avancées et son coût est inadapté aux PME.

Un scanneur de vulnérabilité : pour détecter les failles et réduire la surface d’attaque. En complément du parefeu applicatif web.

Une solution de cybersécurité 360° : pour évaluer à la fois le niveau de risque de votre site et vous protégez contre les cyber-attaques sophistiquées (DDos, XSS et SQL). Oui mais vous allez me dire que cette solution est coûteuse et demande des connaissances techniques avancées pour sa mise en place. OZON est une solution de cybersécurité 360°, compatible avec les CMS les plus utilisés dans le eCommerce (WordPress, Joomla, Magento, Drupal, Prestashop…), qui ne demande aucune compétence technique ou installation fastidieuse.

OZON est une solution de cybersécurité 360°, compatible avec les CMS les plus utilisés dans le eCommerce (WordPress, Joomla, Magento, Drupal, Prestashop…), qui ne demande aucune compétence technique ou installation fastidieuse.

Non seulement vous êtes protégé contre les attaques sophistiquées mais vous pouvez aussi faire un audit régulier de vos sites et applications pour patcher en continu les vunlérabilités présentes sur votre plateforme eCommerce.

Vous êtes un eCommerce ? Vous utilisez un CMS ? Vous utilisez un thème ou un plugin développé par un tiers ? Vous ne savez pas si vous êtes vulnérables ? Testez OZON gratuitement pendant 30 jours et ce sans engagements !

Share This