Thierry Broussegoutte

consultant / formateur / intégrateur web
vendredi 19 juillet 2019

Vote utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives
 

comparaison attaques sites web cms 2017-2018
source Website Hack Trend Report 2018

Les sites web développés à partir de CMS comme Wordpress et Joomla! ont fait l’objet d’une augmentation importante d’attaques en 2018, selon le rapport de Sucuri «Hacked Website Report».

Ce dernier analyse les tendances actuelles de logiciels malveillants et les sites Web piratés ayant eu recours à Sucuri, société de sécurisation de sites Web. Il est basé sur les données collectées et analysées par l'équipe de sécurité GoDaddy et Sucuri* concernant plus de 25 168 demandes de nettoyage.

WordPress beaucoup moins sécurisé que Joomla!® ?

Les infections de WordPress ont augmentées, elles sont passées de 83% en 2017 à 90% en 2018.

Alors qu’elles ont chuté pour Joomla!, 13,1% en 2017 à 4,3% en 2018.

Il est vrai que Wordpress est le plus utilisé sur Internet, 30 % des sites , et donc le plus visé. Mais cela ne peut être la seule raison.

Les extensions causes de vulnérabilités

Les menaces les plus connues proviennent des vulnérabilités introduites par les modules complémentaires, les plugins, les thèmes et les extensions.

Il est possible de créer un site Joomla! sans extensions complémentaires, ou peu. Ce CMS contient en natif les éléments essentiels pour déployer son site efficacement : formulaire de contact, champs personnalisés, optimisation du référencement, contrôles d'accès, double authentification, SSL … Tous ces éléments sont mis à jour si nécessaire à chaque « release ». De plus Joomla! est développé à partir d'un code robuste, éprouvé et reconnu. L'équipe de sécurité, Security Strike Team, se fait un devoir de libérer les patchs de sécurité avant que les failles soient largement reconnues par les hackers.
Ce qui peut expliquer en partie une baisse spectaculaire des infections de près de 9% en une année.

Par contre, les sites Wordpress dont je suis amené à dépanner comportent une multitude affolante de plugins, parfois inutilisés et le plus souvent ils ne sont même pas actualisés.

La mise à jour, élément clé de la sécurité des sites web

Je ne me lasserai jamais de le répéter: mettre à jour, mettre à jour et encore mettre à jour ! Il s’agit bien sûr du système lui-même, mais également de toutes les extensions qui ont été ajoutées.

Sur l’ensemble des sites analysés durant cette période, WordPress a connu une baisse du nombre de versions obsolètes. En 2017, 39,3% des sites WordPress piratés avaient des versions périmées. En 2018 leur nombre a légèrement chuté, 36,7% des demandes de nettoyage pour WordPress avait une version obsolète. Cela démontre que la politique WordPress de mises à jour automatiques commence à donner des résultats.

Le seul point faible sont les composants extensibles de WordPress comme les plugins. Ces extensions sont les véritables vecteurs d'attaque affectant des dizaines de milliers de sites par an.

Joomla!, lui, ne possède pas actuellement de fonctionnalité de mises à jour automatiques, cela ouvre une plus grande fenêtre pour les attaquants qui ciblent les vulnérabilités connues. Une amélioration à apporter lors d’une version future. Cependant, le plug-in Notification de Mise à jour, activé par défaut, vérifie périodiquement la disponibilité de nouvelles versions de Joomla! Quand une mise à jour est trouvée, un e-mail est envoyé pour rappeler de mettre à jour. Certaines extensions utilisent le système de mise à jour Joomla!, mais pas toutes et c'est dommage. Ce dernier informe sur la disponibilité de nouvelles versions par notifications dans le panneau d'administration.

Sécurisez vos sites WordPress et Joomla!

La maintenance globale du site par les webmasters, notamment les mises à jour, font partie des problèmes communs de vulnérabilités pointès par Sucuri. Comme également : les déploiements incorrects, les problèmes de configuration de la sécurité, le manque de connaissances ou de ressources en matière de sécurité, …

La sécurisation d’un site web est un travail permanent. Si vous n’avez pas le temps de vous en occuper vous même, ne prenez pas de risques en faisant appel à un professionnel comme apWeb. Avec son système de monitoring 24/24, apWeb veille sur vos sites, assure les sauvegardes, les mise à jour, la remise en ligne après attaque et bien d’autres services.

 Thierry Broussegoutte

Joomla! 3x Certified Administrator

suivez ma formation en ligne : Joomla! Gestion de la sécurité

* Sucuri a fait l'objet d'une acquisition par l'hébergeur GoDaddy en mars 2017

0
0
0
s2smodern

Formation Virtuemart SEO Joomla référencement video formation joomla sécurité Formation Libreoffice writer Formation libreoffice initiation Calc Formation calc bases de données Formation impress libreoffice openofffice formation LibreOffice Base

Formations Joomla Virtuemart 3 Référencement Sécurité Formations Openoffice Libreoffice Writer Calc Impress Base