Protéger son site réalisé avec un CMS

Les CMS sont venus révolutionner le monde de l’informatique et du web. Ces systèmes de gestion de contenu sont devenus incontournables dans la création de sites web, mais sont malheureusement de plus en plus sujets aux cyber attaques. WordPress, Joomla, Magento, Drupal… il est nécessaire de mettre en place des systèmes pour leur sécurité. Que doit-on réellement savoir sur la sécurité des CMS ?

  1. Qu’est-ce qu’un CMS ?
  2. Pourquoi la sécurité d’un CMS est-elle importante ?
  3. Comparatif de la sécurité des principaux CMS
  4. Quelles sont les menaces autour d’un CMS ?
  5. Une sécurité adaptée à votre CMS
    WordPress
    Joomla
    Drupal
    Magento

 

Qu’est ce qu’un CMS ?

Le Content Management System est un terme anglais utilisé sous l’abréviation “CMS”. En français, cet énoncé désigne un Système de Gestion de Contenu ou SGC. Le CMS regroupe des logiciels mis en place pour concevoir et mettre à jour de façon dynamique des applications multimédias et des sites Web. Dans le cas d’un CMS qui gère un contenu dynamique, on parle de DCMS ou Dynamic Content Management System. Aussi, le CMS ne doit pas être confondu avec un système de gestion électronique des documents ou GED.

securite site cms
Comment bien sécuriser son site sous CMS ?

 

→ Le principe du Content Management System

Le principe du CMS est simple : vous visualisez instantanément ce que vous obtiendrez une fois la publication effectuée. En anglais, ce principe tient aussi en un acronyme : What You See Is What You Get. En effet, jusqu’à ce que ce principe ne voit le jour, les textes et les images d’un contenu à publier étaient non mis en forme. Séparés de leurs aspects extérieurs, autrement dit, de leurs formes. De plus, les changements opérés dans un contenu étaient lents : ils pouvaient prendre plusieurs secondes avant d’être appliqués. Ce qui n’est désormais plus le cas avec le CMS, qui opère des modifications instantanées.

 

→ Les fonctionnalités du CMS

Avec un Content Management System, il est envisageable de travailler en équipe sur un même document. Le CMS fournit également des workflows ou chaînes de publication. Ces derniers permettent la mise en ligne du contenu des documents.

Avec un CMS, il est aussi possible d’aboutir à des séparations entre la forme et le contenu. Celui-ci peut être mieux structuré avec l’utilisation des forums de discussion, des blogs, des Foires Aux Questions (ou FAQ), ou encore la mise en ligne de documents.

Le CMS permet également la hiérarchisation des utilisateurs et l’attribution de rôles et de permissions. C’est ainsi que l’on peut retrouver des contributeurs, des administrateurs ou des utilisateurs pour l’administration d’un même site.

 

Pourquoi la sécurité d’un CMS est-elle importante ?

La sécurité d’un CMS fait partie intégrante de la cybersécurité. En effet, les CMS sont devenus de plus en plus vulnérables au fil des années. Vu qu’ils sont à présent très populaires, de nombreuses structures n’hésitent pas à en faire usage pour mettre en forme le contenu de leur site. Cependant, des études menées sur le sujet ont démontré que ces entreprises, une fois qu’elles décident d’adopter un CMS, ne pensent pas souvent à la possibilité que ce dernier soit piraté. Pourtant, la menace est bel et bien réelle.

Rendu public par Checkmarx, un article de recherche révèle que sur WordPress, 20 % des modules installés ne sont pas protégés contre les attaques. Aussi, grâce à la British Standards Institution, on apprend qu’en Allemagne, 20 % des failles de sécurité découvertes au sein des codes tiers provenaient du cœur même du CMS. Quant aux 80 % restants, elles trouvent leur source dans les plug-ins et les extensions.

Il est urgent de penser à la sécurité de ces CMS, puisque ces derniers et leurs compléments connaissent une évolution régulière. Il faut les protéger pour les les stabiliser et améliorer leurs fonctionnalités. Il est nécessaire d’anticiper une obsolescence technique et de réduire le temps de réponse du site. Une fois que la sécurité du site web est optimale; la compatibilité des différents modules du CMS est assurée et il est possible d’accéder à de nouveaux modules. Par ailleurs, la sécurité d’un site sous CMS est également importante pour le référencement naturel du site dans les moteurs de recherche : Google prend aujourd’hui en considération ce paramètre.

securite site cms
Pourquoi la sécurité de son CMS est importante ?

 

Comparatif des CMS 2020 d’un point de vue sécurité

En se basant sur le nombre de cyberattaques envers les CMS, certains d’entre eux se révèlent être mieux protégés que d’autres.

Ci-dessous, un tableau comparatif des CMS en 2020 d’un point de vue sécurité :

Nom du CMS Part du marché Serveur Web Disponibilité du HTTPS et du Certificat SSL
WordPress 62,6 % Supports MySQL / MariaDB et PHP Oui
Joomla 4,4 % Apache 2.0, MS IIS 7 et NGINX Oui
TYPO 30,7 % MS IIS, Apache et NGINX Oui

 

Malgré des attaques régulières, WordPress demeure le plus sécurisé des CMS.

 

Quelles sont les menaces autour des CMS ?

Comme susmentionné, les CMS non protégés sont sujets aux attaques des hackers.

✖ Le vol de données

Il s’agit là de la menace la plus fréquente qui pèse sur la sécurité des sites Internet qui ne sécurisent pas leurs CMS. C’est surtout le cas pour les entreprises qui créent des comptes clients. Les hackers peuvent à tout moment pénétrer dans le système et se servir des coordonnées bancaires de ces derniers. S’en suivent des alors des fraudes et des détournements de fonds.

✖ L’injection de malwares

Le malware n’est rien d’autre qu’un logiciel malveillant et nuisible. Il est inséré dans un système informatique dans l’unique but de le détruire, de lui nuire. Bien évidemment, cette action de destruction est faite sans le consentement du propriétaire et dans un cadre plus restreint, sans celui de l’utilisateur dont le PC est infecté. Les malwares,ou virus, permettent aux hackers de procéder à une modification des sites. Ils sont même capables d’en faire usage comme point de départ, afin de développer ces malwares sur Internet.

✖ L’hébergement de contenus illicites et les interruptions de service

En pénétrant dans les CMS via les systèmes informatiques, les hackers détiennent tous les secrets des sites infectés et sont alors capables d’y héberger d’autres types de contenus. Il pourrait ainsi s’agir de contenus complètement à l’opposé ou allant même à l’encontre des valeurs des structures concernées. Il pourrait également s’agir de contenus à caractère pornographique ou pédopornographique. Par la même occasion, ils pourraient mettre hors-service le site et par conséquent, faire perdre des clients ou même de l’argent aux entreprises.

✖ Le blacklistage par Google

Lorsque la sécurité site internet est totalement menacée ou que ce dernier est complètement contaminé par des virus, le site est désindexé par le moteur de recherche Google. Autrement dit, il ne figurera plus dans les pages de résultats. On parle également de sites bannis. Cette sorte de pénalité est aussi obtenue lorsque le site a eu à réaliser de trop nombreuses pratiques malsaines de référencement naturel.

 

Une sécurité adaptée à votre CMS

Les systèmes de gestion de contenu les plus en vue sont (entre autres) WordPress, Joomla, Drupal et Magento.

 

● Notre guide sécurité WordPress ●

securite wordpress
Sécurité WordPress

WordPress a vu le jour en 2003. Depuis, ce système de gestion de contenu est devenu le plus utilisé : 34,7 % de sites web sont des sites WordPress. Son système d’exploitation est multi-plateforme et il est disponible en des centaines de langues. Même si chaque année des milliers de sites hébergés chez WordPress sont piratés, il est possible de ne pas en faire partie en prenant quelques précautions. Avant tout, il faut bloquer les backdoors en scannant son site WordPress et en bloquant les adresses IP malveillantes.

Il faut aussi prévenir le Pharma Hack en faisant des mises à jour régulières des extensions, des thèmes et des installations WordPress. Enfin, éviter à tout prix les attaques par brute-force. Pour ce faire, il faut limiter les tentatives de connexion et surveiller les connexions non autorisées.

V6Protect vous permet de piloter la sécurité de votre WordPress pour le scanner régulièrement et de profiter d’une vision synthétique de l’état de sa sécurité.

 

● Notre guide sécurité Joomla ●

securite joomla
Sécurité Joomla

Joomla a vu le jour en 2005. Sous forme d’intégration continue, Joomla est écrit en PHP. Avec un environnement multi-plateforme, il est gratuit et libre.

Chez Joomla, les failles de sécurité se retrouvent au niveau de 4 zones :

  1. les zones internes ;
  2. les zones réseaux ;
  3. les zones serveurs ;
  4. les zones Joomla.

Pour se prémunir contre les risques internes, il faut crypter ses données et choisir des mots de passe forts. Dans le cas des risques réseaux, il est essentiel d’héberger son site via HTTPS ou SFTP. De plus, ces espaces doivent être validés par plusieurs certificats SSL. Quant aux zones serveurs, il faut avoir un serveur VPS ou dédié. Enfin, les risques Joomla peuvent être maîtrisés en mettant régulièrement à jour les extensions.

V6Protect vous permet de détecter et de réparer tous les risques liés à une mauvaise sécurité de votre site Joomla.

 

● Notre guide sécurité Drupal ●

securite drupal
Sécurité Drupal

Également écrit en PHP, Drupal naît en janvier 2001 et est développé par Dries Buytaert. Ce système de gestion de contenu fait également partie des plus installés et des plus utilisés.

Pour maximiser la sécurité site web Drupal, il faut faire usage de la double authentification et éliminer les utilisateurs inactifs. Aussi, les fichiers d’accès Drupal doivent connaître une limitation d’accès. Par ailleurs, il faut procéder à des sauvegardes régulières et toujours activer le SSL.

V6Protect vous permet d’identifier les failles et de réparer les problèmes de sécurité de votre site Drupal.

 

● Notre guide sécurité Magento ●

securite magento
securite magento

Cette plateforme de commerce électronique fut lancée en 2008. Magento draine des milliers d’utilisateurs, qui malheureusement, font aussi face à des attaques de leurs systèmes. Sur un site Magento, le mot de passe doit être changé tous les trois mois. Les connexions ratées doivent être limitées et la récupération du mot de passe doit toujours avoir lieu par e-mail. Sur le backoffice, c’est le HTTPS qui doit être utilisé. Enfin, les extensions utilisées doivent avoir fait l’objet d’audit.

V6Protect est un très bon rempart pour la sécurité de votre site e-commerce Magento en vous permettant d’identifier, de bloquer et de patcher les failles de sécurité.

 

● Notre guide sécurité Shopify ●

 

securite shopify
Sécurité Shopify

Shopify est un célèbre outil pour créer facilement un site e-commerce ou dropshipping.

Protégez votre site sous CMS avec V6Protect