Votre site est basé sur un CMS open source ?
Un choix courant et respectable, car le monde de l’open source est indispensable au Web. Mais attention : les CMS open source constituent également une cible privilégiée des hackers et sont victimes de très nombreuses cyberattaques.
Des attaques évitables, à condition d’être vigilant…
Pour illustrer les problèmes de sécurité auxquels sont confrontés les sites créés sur des CMS open source, commençons par un zoom sur deux événements relativement récents.
- En octobre 2016, deux failles liées à la création de compte sur Joomla ont été identifiées par des hackers. Comment ? Tout simplement en étudiant les derniers patchs de sécurité publiés par le CMS et consultables publiquement (open source oblige). Les failles étant citées dans les patchs correctifs, il a suffi aux pirates de rechercher des sites ne les ayant pas appliqués. Ils ont alors pu créer des comptes utilisateurs disposant de privilèges élevés. A chaque parution de patch, c’est donc une course-la-montre pour mettre à jour son site, et quel que soit le CMS open source…
- En janvier 2017, WordPress (CMS le plus attaqué en 2016 par les hackers d’après une étude réalisée par la société de Web sécurité Sucuri) a publié une mise à jour corrigeant une faille de sécurité critique, qui permettait à des pirates de modifier le contenu des pages d’un site. Lors de cette mise à jour, les responsables de WordPress ont indiqué qu’à leur connaissance, aucune tentative d’exploitation de cette vulnérabilité n’avait encore eu lieu. Mais cela ne signifie pas que ça n’a pas été le cas par la suite… Cet exemple démontre que, malgré son équipe de développement, ses 14 ans d’existence et ses indiscutables qualités, WordPress reste vulnérable à des failles très critiques.
Pourquoi les CMS open source sont-ils exposés au piratage ?
WordPress, Joomla, Drupal… Les CMS open source les plus populaires sont utilisés par des millions de sites, dont certains sont prestigieux. C’est bien ce qui en fait des cibles prioritaires pour les hackers : quelle que soit sa taille, chacun de ces sites ne représente qu’un « zombie » supplémentaire. Par milliers, ces zombies permettent de mener rapidement des attaques massives.
Ne nous voilons pas la face : les CMS propriétaires font également face à de nombreuses failles, et contrairement à leurs homologues open source, ils ne disposent pas d’une large communauté de développeurs pour les identifier. Ce qui les sauve, c’est que leurs réseaux de sites ne sont pas assez développés pour intéresser les hackers.
Voici quelques-unes des vulnérabilités les plus exploitées chez les CMS open source :
- Les défauts de mise à jour. Comme indiqué en début d’article, les pirates analysent les patchs de sécurité afin d’identifier les failles majeures et les exploiter avant les mises à jour.
- L’utilisation par les administrateurs de mots de passe peu sécurisés.
- Le mode de création des plugins, qui repose sur d’innombrables développeurs. La qualité de leur sécurisation est donc très variable.
- La faiblesse des paramètres de sécurité de base des CMS open source. Il est indispensable de les personnaliser, notamment par le biais de plugins.
Piratage d’un CMS open source : quelles conséquences ?
Le but des cyberpirates est en premier lieu de prendre le contrôle de l’administration des sites, en profitant par exemple d’un mot de passe faible ou d’une faille de sécurité. Une fois sous contrôle, ces sites leur permettent de mener diverses actions.
- Défaçage du site
- Lancement d’une campagne de spams
- Insertion de pages cachées
- Collecte d’informations personnelles
- Attaques DDoS (déni de service) via l’injection de malwares…
Ces actes de piratage ne sont pas sans conséquences pour les sites Web impactés. Sachez d’ailleurs que si votre site est piraté, vous ne vous en rendrez pas forcément compte immédiatement, à part bien sûr en cas de défaçage. Par contre, les moteurs de recherche le remarqueront rapidement. A la clef : un placement sur liste noire et une disparition pure et simple des résultats de recherche. L’envoi d’un grand nombre de spams provoquera également un ralentissement de l’affichage du site. Cet événement doit d’ailleurs être de nature à vous mettre la puce à l’oreille…
Comment protéger votre site ?
Pour sécuriser votre site et limiter au maximum les risques de piratage, quelques consignes de base doivent absolument être appliquées.
- Choisir des mots de passe complexes contenant des lettres en minuscules et majuscules, des caractères spéciaux et des chiffres.
- Appliquer dès que possible chaque mise à jour et patch de sécurité, qu’ils concernent le CMS, vos plugins ou encore vos thèmes.
- Personnaliser les niveaux de permission de tous les dossiers composant votre site Web.
- Intégrer des plugins permettant de sécuriser l’authentification (connexion en deux étapes, etc…).
- Sauvegarder très régulièrement les données de votre site internet, afin de pouvoir le restaurer aisément en cas de problème.
