Les CMS sont venus révolutionner le monde de l’informatique et du web. Ces systèmes de gestion de contenu sont devenus incontournables dans la création de sites web, mais sont malheureusement de plus en plus sujets aux cyber attaques. WordPress, Joomla, Magento, Drupal…il est nécessaire de mettre en place des systèmes pour leur sécurité. Que doit-on réellement savoir sur la sécurité des CMS ?

  1. Qu’est-ce qu’un CMS ?
  2. Pourquoi la sécurité d’un CMS est-elle importante ?
  3. Comparatif de la sécurité des principaux CMS 
  4. Quelles sont les menaces autour d’un CMS ?
  5. Une sécurité adaptée à votre CMS

→ WordPress
→ Joomla
Prestashop
Drupal

→ Magento

 

Qu’est ce qu’un CMS ?

Le Content Management System est un terme anglais utilisé sous l’abréviation “CMS”. En français, cet énoncé désigne un Système de Gestion de Contenu ou SGC. Le CMS regroupe des logiciels mis en place pour concevoir et mettre à jour de façon dynamique des applications multimédias et des sites Web. Dans le cas d’un CMS qui gère un contenu dynamique, on parle de DCMS ou Dynamic Content Management System. Aussi, le CMS ne doit pas être confondu avec un système de gestion électronique des documents ou GED.

securite wordpress cms 

 

→  Le principe du Content Management System

 Le principe du CMS est simple : vous visualisez instantanément ce que vous obtiendrez une fois la publication effectuée. En anglais, ce principe tient aussi en un acronyme : What You See Is What You Get. En effet, jusqu’à ce que ce principe ne voit le jour, les textes et les images d’un contenu à publier étaient non mis en forme. Séparés de leurs aspects extérieurs, autrement dit, de leurs formes. De plus, les changements opérés dans un contenu étaient lents : ils pouvaient prendre plusieurs secondes avant d’être appliqués. Ce qui n’est désormais plus le cas avec le CMS, qui opère des modifications instantanées.

 

→ Les fonctionnalités du CMS

Avec un Content Management System, il est envisageable de travailler en équipe sur un même document. Le CMS fournit également des workflows ou chaînes de publication. Ces derniers permettent la mise en ligne du contenu des documents.

Avec un CMS, il est aussi possible d’aboutir à des séparations entre la forme et le contenu. Celui-ci peut maintenant être mieux structuré avec l’utilisation des forums de discussion, des blogs, des Foires Aux Questions (ou FAQ), ou encore la mise en ligne de documents.

Le CMS permet également la hiérarchisation des utilisateurs et l’attribution de rôles et de permissions. C’est ainsi que l’on peut retrouver des contributeurs, des administrateurs ou des utilisateurs pour l’administration d’un même site.

 

Pourquoi la sécurité d’un CMS est-elle importante ?

 

La sécurité d’un CMS fait partie intégrante de la cybersécurité. En effet, les CMS sont devenus de plus en plus vulnérables au fil des années. Vu qu’ils sont à présent très populaires, de nombreuses structures n’hésitent pas à en faire usage comme des logiciels tiers entre leur site web et leur contenu. Cependant, des études menées sur le sujet ont démontré que ces entreprises, une fois qu’elles décident d’adopter un CMS, ne pensent pas souvent à la possibilité que ce dernier soit piraté. Pourtant, la menace est bel et bien réelle.

Rendu public par Checkmarx, un article de recherche révèle que sur WordPress, 20 % des modules installés ne sont pas protégés contre les attaques. Aussi, grâce à la British Standards Institution, on apprend qu’en Allemagne, 20 % des failles de sécurité découvertes au sein des codes tiers provenaient du cœur même du CMS. Quant aux 80 % restants, elles trouvent leur source dans les plug-ins et les extensions.

Il est urgent de penser à la sécurité de ces CMS, puisque ces derniers et leurs compléments connaissent une évolution régulière. Les protéger reviendra alors à les stabiliser et améliorer leurs fonctionnalités. Il faut donc penser à éviter l’obsolescence technique et réduire le temps de réponse. La sécurité site web est ainsi optimale, la compatibilité des différents modules du CMS est assurée, et il est possible d’accéder à de nouveaux modules. Par ailleurs, l’importance de la sécurité d’un CMS est également importante pour le bon référencement d’un site dans les moteurs de recherche : Google prend aujourd’hui en considération ce paramètre.

 securite cms

Comparatif des CMS 2020 d’un point de vue sécurité

En se basant sur le nombre de cyberattaques envers les CMS, certains d’entre eux se révèlent être mieux protégés que d’autres.

Ci-dessous, un tableau comparatif des CMS en 2020 d’un point de vue sécurité :

Nom du CMSPart du marchéServeur WebDisponibilité du HTTPS et du Certificat SSL
WordPress62,6 %Supports MySQL / MariaDB et PHPOui
Joomla4,4 %Apache 2.0, MS IIS 7 et NGINXOui
TYPO30,7 %MS IIS, Apache et NGINXOui

 

Malgré des attaques régulières, WordPress demeure le plus sécurisé des CMS.
Il est suivi de TYPO3, très utilisé en Allemagne et de Joomla.

 

Quelles sont les menaces autour des CMS ?

Comme susmentionné, les CMS non protégés sont sujets aux attaques des hackers. 

 

✖ Le vol de données

Il s’agit là de la menace la plus fréquente qui pèse sur la sécurité des sites Internet qui ne sécurisent pas leurs CMS. C’est surtout le cas pour les entreprises qui créent des comptes clients. Les hackers peuvent à tout moment pénétrer dans le système et se servir des coordonnées bancaires de ces derniers. S’en suivent des alors des fraudes et des détournements de fonds.

 

✖ L’injection de malwares

Le malware n’est rien d’autre qu’un logiciel malveillant et nuisible. Il est inséré dans un système informatique dans l’unique but de le détruire, de lui nuire. Bien évidemment, cette action de destruction est faite sans le consentement du propriétaire et dans un cadre plus restreint, sans celui de l’utilisateur dont le PC est infecté. Les malwares,ou virus, permettent aux hackers de procéder à une modification des sites. Ils sont même capables d’en faire usage comme point de départ, afin de développer ces malwares sur Internet.

 

✖ L’hébergement de contenus illicites et les interruptions de service

En pénétrant dans les CMS via les systèmes informatiques, les hackers détiennent tous les secrets des sites infectés et sont alors capables d’y héberger d’autres types de contenus. Il pourrait ainsi s’agir de contenus complètement à l’opposé ou allant même à l’encontre des valeurs des structures concernées. Il pourrait également s’agir de contenus à caractère pornographique ou pédopornographique. Par la même occasion, ils pourraient mettre hors-service le site et par conséquent, faire perdre des clients ou même de l’argent aux entreprises.

 

 ✖ Le blacklistage par Google

Lorsque la sécurité site internet est totalement menacée ou que ce dernier est complètement contaminé par des virus, le site est désindexé par le moteur de recherche Google. Autrement dit, il ne figurera plus dans les pages de résultats. On parle également de sites bannis. Cette sorte de pénalité est aussi obtenue lorsque le site a eu à réaliser de trop nombreuses pratiques malsaines de référencement naturel.

 

Une sécurité adaptée à votre CMS

Les systèmes de gestion de contenu les plus en vue sont WordPress, Joomla, Prestashop, Drupal et Magento. 

 ✓ Sécurité WordPress

securite wordpress

WordPress a vu le jour en 2003. Depuis, ce système de gestion de contenu est devenu le plus utilisé : 34,7 % de sites web sont des sites WordPress. Son système d’exploitation est multi-plateforme et il est disponible en des centaines de langues. Même si chaque année des milliers de sites hébergés chez WordPress sont piratés, il est possible de ne pas en faire partie en prenant quelques précautions. Avant tout, il faut bloquer les backdoors en scannant son site WordPress et en bloquant les adresses IP malveillantes.

Il faut aussi prévenir le Pharma Hack en faisant des mises à jour régulières des extensions, des thèmes et des installations WordPress. Enfin, éviter à tout prix les attaques par brute-force. Pour ce faire, il faut limiter les tentatives de connexion et surveiller les connexions non autorisées.

V6Protect vous permet de piloter la sécurité de votre WordPress pour le scanner régulièrement et de profiter d’une vision synthétique de l’état de sa sécurité. Pour en lire plus, nous vous proposon un guide dédié à la sécurité sur WordPress.

 ✓ Sécurité Joomla

securite joomla

Joomla a vu le jour en 2005. Sous forme d’intégration continue, Joomla est écrit en PHP. Avec un environnement multi-plateforme, il est gratuit et libre.

Chez Joomla, les failles de sécurité se retrouvent au niveau de 4 zones :

  • les zones internes ;
  • les zones réseaux ;
  • les zones serveurs ;
  • les zones Joomla.

Pour se prémunir contre les risques internes, il faut crypter ses données et choisir des mots de passe forts. Dans le cas des risques réseaux, il est essentiel d’héberger son site via HTTPS ou SFTP. De plus, ces espaces doivent être validés par plusieurs certificats SSL. Quant aux zones serveurs, il faut avoir un serveur VPS ou dédié. Enfin, les risques Joomla peuvent être maîtrisés en mettant régulièrement à jour les extensions.

V6Protect vous permet de détecter et de réparer tous les risques liés à une mauvaise sécurité de votre site Joomla. Pour en savoir plus, nous vous invitons à lire notre guide de la sécurité Joomla.

✓ Sécurité Prestashop

securite prestashop

Prestashop est utilisé pour faire du commerce en ligne ou pour créer sa boutique sur Internet. Tout comme les autres applications CMS, Prestashop est régulièrement sujet à des attaques.

Le prisme de sécurité chez Prestashop passe principalement par l’installation d’un certificat SSL. Ensuite, il faut revoir les paramétrages de sa boutique en améliorant le front office, en autorisant les iframes et en se servant de la bibliothèque HTMLPurifier. Il faut également penser à quitter le mode “développement”, à ajouter plusieurs autres niveaux de sécurité et à mettre à jour les modules et logiciels.

✓ Sécurité Drupal

securite drupal

Également écrit en PHP, Drupal naît en janvier 2001 et est développé par Dries Buytaert. Ce système de gestion de contenu fait également partie des plus installés et des plus utilisés.

Pour maximiser la sécurité site web Drupal, il faut faire usage de la double authentification et éliminer les utilisateurs inactifs. Aussi, les fichiers d’accès Drupal doivent connaître une limitation d’accès. Par ailleurs, il faut procéder à des sauvegardes régulières et toujours activer le SSL.

✓ Sécurité Magento

securite magento

Cette plateforme de commerce électronique fut lancée en 2008. Magento draine des milliers d’utilisateurs, qui malheureusement, font aussi face à des attaques de leurs systèmes.

Sur un site Magento, le mot de passe doit être changé tous les trois mois. Les connexions ratées doivent être limitées et la récupération du mot de passe doit toujours avoir lieu par e-mail. Sur le backoffice, c’est le HTTPS qui doit être utilisé. Enfin, les extensions utilisées doivent avoir fait l’objet d’audit.