Protégez votre site Joomla des failles de sécurité
Si vous possédez un site Internet sur un CMS
connu tel que WordPress ou Joomla, vous devez savoir que des failles de sécurité peuvent grandement endommager votre travail.
C’est un élément d’autant plus important à prendre en compte dans le cas d’un site e-commerce.
D’où viennent ces failles de sécurité ?
Joomla est une solution CMS open source, c’est-à-dire libre d’accès.
Une des forces de l’open source est de permettre à chacun de modifier le code selon son besoin. Ainsi, un écosystème
est né autour de Joomla avec des développeurs créant des extensions
, ajoutant des fonctionnalités au CMS. Par exemple, une map, un formulaire, un thème…
Les failles peuvent donc venir d’un problème de qualité sur le développement
de l’un de ces outils. C’est pourquoi le choix d’une extension gratuite n’est pas forcément pertinent à moyen terme.
D’autre part, les standards du web
évoluent (adaptation aux mobiles, langage plus rapide/performant, niveau de sécurité plus élevé, cryptage…). Ces changements nécessitent des mises à jour du cœur, ou core, du CMS, qui est généralement réalisé par une équipe de développeurs bénévole très qualifiée (cela correspond au numéro de version du CMS que vous pouvez trouver : par exemple 3.5.2 est une mise à jour mineure de la version 3.5.0, qui elle était une mise à jour longue de la version 2.5).
Ces mises à jour
sont importantes pour la communauté car elles vont permettre au CMS d’intégrer les derniers standards et recommandations du web. Elles peuvent représenter des évolutions majeures et nécessiter un changement profond de l’organisation du CMS.
De ce fait, toutes les extensions qui enrichissent un site vont devoir s’adapter
pour être compatibles avec ces dernières versions. Ce qui nécessite un travail régulier de la part des développeurs qui les ont créés. C’est pourquoi une extension gratuite présente souvent le risque de ne pas être suivie à moyen ou long terme par son créateur.
A ces évolutions, il faut ajouter la capacité des hackers à trouver des failles comme les voleurs arrivent à contourner les systèmes de sécurité d’une banque. La communauté s’enrichit de ces évolutions empiriques et les mises à jour vont aussi bloquer des failles identifiées
par un des contributeurs.
Que risque-t-on avec ces failles ?
Quand une vulnérabilité est découverte par un cybercriminel, elle peut lui permettre d’entrer sur les sites concernés et d’en prendre le contrôle.
Schématiquement, un cybercriminel qui repère une faille
utilisera un robot, ou un script, qui va analyser les sites, pour profiter de cette faille, visant tous les sites qui utilisent l’outil où la faille a été repérée.
Joomla étant une solution particulièrement complète et grandement utilisée, les hackers savent qu’en y trouvant une faille, ils pourront toucher un nombre conséquent de sites. Ce qui est en fait une cible de choix
.
Comment lutter contre les failles de sécurité sur Joomla ?
La plate-forme effectue de façon récurrente des mises à jour. Ces dernières ont pour but, entre autres, de réparer ce type de fragilités.
Assurer la maintenance
et les mises à jour régulières est ainsi la meilleure façon de se prémunir contre les risques. Les mises à jour ont en effet pour but, entre autres, de corriger les failles repérées.
Joomla est forte d’une veille
particulièrement soignée quant aux failles de sécurité et autres erreurs de codage. Ainsi, toute vulnérabilité est vite repérée et prise en charge. Les failles sont rectifiées d’autant plus vite quand il s’agit d’erreurs importantes ou sujettes à risques.
Quelques exemples de vulnérabilités notables
Par exemple, fin 2016, deux failles dangereuses étaient exposées sur Joomla.
La première, CVE-2010-8870
, représente un défaut de vérification. La conséquence directe est la possibilité de créer un ou plusieurs comptes utilisateurs sur tout site géré par Joomla, même ceux dont l’administrateur a désactivé le processus. Une porte ouverte sur tout site concerné, donc.
La deuxième faille, CVE-2016-8869
, peut devenir problématique si utilisée en complément. En effet, elle permet d’élever les privilèges d’un compte utilisateur pour réaliser des actions normalement impossibles à ce niveau.
La mise à jour de Joomla est vite intervenue pour mettre fin à ces deux failles importantes. Le correctif ainsi mis en place sécurise donc les sites qui l’appliquent et les protège de ces deux vulnérabilités.
Un contrat de maintenance pour protéger votre site Joomla ?
Http5000, en tant que créateur de sites web, sait comment maintenir votre site à jour et donc régulièrement corrigé
du point de vue des failles repérées.
Nous proposons ainsi des contrats de maintenance afin de garder votre site actif sur le serveur et de le prémunir
contre les possibles attaques et spams. Pour une protection web assurée et une maintenance optimale, c’est une opportunité simple d’accès qui vous évitera de gérer par vous-même l’aspect technique de ces mises à jours correctives
.
