Thierry Broussegoutte

consultant / formateur / intégrateur web
vendredi 20 octobre 2017

Note utilisateur: 4 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Inactive
 

Lors du dernier Joomapéro azuréen j'ai eu l'occasion de faire un petit exposé sur les fonctionnalités de sécurité de Joomla 3. Je vous propose d’en reprendre les grandes lignes dans une série d’articles et d’en finir au passage avec quelques idées reçues.

15% de réduction sur l'abonnement de luxe annuel de video2brain

En commençant par WordPress, le CMS à la mode. Le FBI vient d’émettre à son sujet un billet de sécurité afin de prévenir les propriétaires de sites qu’ils étaient exposés à de joyeuses agressions tel le défacement, méthodes relativement rudimentaire consistant à s’introduire dans un site pour remplacer sa page d’accueil.
Le service fédéral américain ajoute que Wordpress est la cible privilégiée d’acteurs malveillants pouvant contourner les restrictions de sécurité, injecter des scripts et voler les informations des systèmes informatiques. Un attaquant peut installer des logiciels malveillants ; manipuler des données ; ou créer de nouveaux comptes avec des privilèges lui permettant d’accéder à l’administration du site web.

En décembre dernier c’est au moins 100 000 blogs Wordpress qui ont été frappés par le malware soaksoak, mettant ainsi en danger les internautes. La faille venait d’une extension n’ayant pas été mise à jour à temps.
Google, n’aimant pas ce genre de blague aurait immédiatement retiré 11 000 noms de domaines de ses résultats de recherche.
Plus récemment c’est le plugin de référencement Yoast qui a été l’objet d’attaques massives mettant en danger plus d’un million de sites Wordpress !

Quel que soit le CMS, le système est très rarement attaqué directement, les agresseurs utilisent les failles dans le code des extensions ou plugins qui sont ajoutés, comme un carrousel d’images, un éditeur de contenu, …

Vous l’avez deviné le titre de cet article est un tantinet provocateur. Le graphique représentant le nombre de vulnérabilités relevé chez les trois principaux CMS durant le mois de mars (source OSVDB), illustre bien que Joomla n’est pas à l’abri de ces attaques.

2015 04 vulnerabilites

Mais l’équipe de développeurs bénévoles améliore constamment la sécurité de Joomla, comme l’intégration dans la dernière version d’UploadShield qui analyse les fichiers téléchargés par Joomla et peut bloquer ceux qui sont infectés.

Un autre groupe, le VEL team, gère la liste des extensions vulnérables. Toute extension suspecte est immédiatement retirée du répertoire de Joomla.org, le JED. Enfin les éditeurs d’extension et les développeurs sont en général très réactifs pour apporter des corrections aux failles détectées.

15% de réduction sur l'abonnement de luxe annuel de video2brain

Nous verrons dans un prochain article que Google prends très aux sérieux ces questions de sécurité et que Joomla 3 y répond au mieux.

Besoin d'une formations sur la sécurité WordPress ou Joomla, d'une assistance, contactez-moi

Je vous invite à vous inscrire aux ateliers sécurité animés par Christophe Avonture au Joomladay de Nice

10 mai 10 :10 Atelier la sécurité et Joomla
10 mai 14:40 Atelier aeSecure

15% de réduction sur l'abonnement de luxe annuel de video2brain

0
0
0
s2sdefault