Les mises à jour de sécurité

29.03 / 2016

CMS

Sécurité

Blog

Pourquoi faire les MAJ de sécurité ?

Commençons par ce constat alarmiste : 100% des sites internet ne sont pas à l'abris d'une attaque.

Il est évident que nous sommes moins sensibles à la sécurité d'un site internet plutôt qu'a son propre logement. Cela vient surement du côté intangible du web et aussi du questionnement : "Quel intérêt de pirater mon site ? Il n'y a pas de transfert d'argent ou de données sensibles". Les institutions se posent moins cette question compte tenu du symbole politique et étatique qu'elles représentent et des menaces actuelles dont nous connaissons trop bien les conséquences...

Symantec, entreprise spécialisée dans la sécurité informatique, résume très bien les motivations des "hackers" : "un vrai hacker est celui qui s'infiltre dans un serveur pour découvrir les failles de sécurité et qui alerte ensuite les responsables" mais "Beaucoup d'entre eux affirment attaquer les systèmes pour le fun, pour le challenge". Et enfin une minorité très largement médiatisée : les activistes politiques et les criminels informatiques.
L'article complet :goo.gl/RGgcuQ

 

Comment font-ils pour "hacker" mon CMS ?

Comme la recette secrète du cassoulet transmise de génération en génération, le grand public se contente des grandes lignes et chacun y va de sa propre "recette" (méthode).

Premièrement, avec des mots de passe à sécurité faible ( ex : Morgan05). La méthode est simple, en utilisant des mots existants et en couplant avec des chiffres, ce mot de passe ne devrait pas resister plus de quelques minutes.
Vous pouvez créer un mot de passe sécurisé avec ce générateur gratuit en ligne

Hacker mamie

L'utilisation des CMS "open source", et c'est justement ce point qui constitue une force et une faiblesse : avec un code libre d'accès, les "hackers" détectent plus facilement les vulnérabilités. Mais rassurez-vous, la communauté détecte souvent les failles avant les personnes malveillantes et les "patch" avant une probable exploitation de ce problème. De plus l'aspect communautaire open source assure un niveau de réactivité bien supérieur au privé. Bien sûr il faudra faire la mise à jour, sans quoi, une personne de mal intentionnée n'aura qu'a consulter les "patchs" publiés et les exploiter.

Enfin les plugins. Dans ce cas, je pense notamment au CMS WordPress. Les 50 plugins les plus populaires seraient, selon une étude, 20% à être vulnérables. Il faut s'imaginer ce chiffre corrélé aux 1 219 242 975 millions de plugins multipliés par 3 ( nombre moyen de plugin par site WordPress) JOKE ;).

Pour les curieux, un petit top 10 des failles de sécurité 

Comment mettre à jour mon site ?

Très important avant toute chose : faites une sauvegarde avant d'appuyer sur le bouton "mettre à jour".

Il n'est pas impossible de constater un changement après une MAJ. Sur WordPress il faudra bien s'assurer de la compatibilité des plugins sur la nouvelle version, il en est de même pour Drupal et TYPO3.

Rien n'est jamais anodin, les MAJ de sécurité peuvent ajouter ou supprimer des éléments pouvant "casser " votre site. Il est donc préférable de se faire assister pour effectuer ces mises à jour. Mais pourquoi s'en priver quand cela réduit les bugs et les chances d'être piraté tout en améliorant les performances au prix de quelques ajustements ?

Conclusion

Les failles sont nombreuses. Le CMS ou le PHP sont vulnérables, il est donc important de mettre à jour votre CMS lors des bulletins de sécurité concernant les caractéristiques de votre site. Avant toute chose n'oubliez pas de faire une sauvegarde de votre site. En cas d'hébergement dédié, il faudra vous rapprocher de votre DSI ou administrateur afin de vérifier si des Fail2ban, Rkhunter, Netfilter ou configurations roots sont bien mis en place.


 

N'oubliez pas que le fait de pirater un site est puni de 60 à 100 000€ et de 2 à 5 ans d'emprisonnement et blablabla vous connaissez le refrain ;), en tout cas c'est pas bien !

À lire aussi

Blog

CMS, Que choisissent les Départements ? TYPO3 ressort leader