Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Parmi les sites CMS piratés en 2018, 90 % sont des sites WordPress
Et 97 % des sites PrestaShop piratés sont obsolètes, selon un rapport

Le , par Bill Fassinou

175PARTAGES

14  0 
En 2016, WordPress a été le CMS le plus ciblé par les cyberattaques, selon une étude menée par la société de sécurité Sucuri. En 2018, le CMS a vu le nombre de vulnérabilités qui lui sont liés tripler. Dans l’étude précédente, plusieurs facteurs ont été remis en cause pour leur implication dans la mise à mal de la sécurité, notamment le déploiement, la configuration et la maintenance entreprise par les webmasters ou l’hébergeur. Une récente étude effectuée par Imperva pointe du doigt les plugins comme principale source de vulnérabilités de WordPress. À vrai dire, un CMS maintenu constamment à jour ne constitue pas un problème. C’est quand l’installation est hautement personnalisée qu’il devient difficile de maintenir la sécurité, et en même temps, le risque d’être piraté augmente de façon proportionnelle.

Pour WordPress, le risque est encore plus élevé puisque le CMS propulse près de 30 % des sites de la toile, un pourcentage de taille qui fait qu’il existe un large nombre de victimes potentielles, un facteur important qui attire les hackers de tous poils. En 2018, Imperva a enregistré 542 vulnérabilités associées à WordPress, trois fois plus que le nombre de 2017. Joomla et Drupal combinés ont été affectés par moins de 150 bogues. Un nombre moins élevé de bogues ne reflète pas vraiment le niveau de sécurité d’une plateforme, ça ne veut en aucun cas dire qu’elle est plus sécurisée ou non, la preuve en est les failles importantes qui ont permis aux attaquants de faire des attaques ravageantes contre les sites Drupal, on parle là de Drupalgeddon, Drupalgeddon 2 ou encore Kitty.

Dans un nouveau rapport intitulé « Hacked Website Trend » de l''année 2018, Sucuri a publié les résultats d'une nouvelle analyse des dernières tendances en matière de logiciels malveillants et de sites Web piratés. Ledit rapport est basé sur les données collectées et analysées par l'équipe GoDaddy Security / Sucuri et s'appuient sur les données de l'année précédente et comprend des données mises à jour de janvier à décembre 2018. Le rapport identifie les tendances et les évaluations des risques pour les applications des systèmes de gestion de contenu (CMS) les plus affectées par les compromis sur les sites Web. Le rapport tient compte d'un échantillon représentatif du nombre total de sites Web pour lesquels l'équipe de l'analyse a fourni des services de sécurité en 2018, soit un total d'environ 18 302 sites Web infectés sont analysés dans le rapport.

Les résultats de l'analyse indiquent une augmentation importante des attaques subies par les sites CMS. Les chiffres parlent d'eux-mêmes. La mise à mal de la sécurité dans WordPress est passée de 83 % en 2017 à 90 % en 2018. Les taux d'attaques de Joomla ont chuté de 13,1 % en 2017 à 4,3 % en 2018, tandis que les taux d'attaque subis par Magento sont passés de 6,5 % en 2017 à 4,6 % en 2018, ceux de Joomla ! de 13,1 % en 2017 à 4,3 % en 2018 et ceux de Drupal ont augmenté de 1,6 % en 2017 à 3,7 % en 2018.


La somme des pourcentages de ce graphique dépasse 100 % du fait que certains sites Web peuvent avoir plusieurs installations CMS. Par exemple, il est courant de voir WordPress et Joomla installés sur le même compte serveur, précise le rapport. L'équipe a suivi de près quatre principales applications CMS à savoir WordPress, Magento, Joomla et Drupal de 2017 à 2018 et a constaté que les menaces les plus notoires pour les CMS proviennent des vulnérabilités introduites par les modules additionnels comme des plugins, des thèmes et des extensions. L'équipe a aussi énuméré quelques causes de ces problèmes de sécurité à savoir un déploiement incorrect des sites, une mauvaise configuration de la sécurité, un manque de connaissances ou de ressources en matière de sécurité, etc.

Les chercheurs ont également examiné si les CMS sont à jour ou pas afin de pouvoir déterminer les tendances de la propagation des attaques. L'équipe a considéré un CMS obsolète si l'environnement n'était pas patché avec la version de sécurité recommandée la plus récente au moment l'analyse. Il s'en sort que 44 % des CMS n'étaient pas à jour. Et parmi les CMS WordPress obsolètes ayant subi d'attaque, 36,7 % ont fait l'objet d'attaque. WordPress a connu une baisse du nombre de versions vulnérables obsolètes au moment de l'analyse. En 2017, 39,3 % des sites WordPress piratés sont des installations obsolètes. En 2018, ce chiffre a légèrement diminué. « Ces données démontrent que le travail que WordPress continue de faire avec les mises à jour automatiques a un impact matériel », indique le rapport.


On remarque que Drupal a connu une baisse de 2,2 % des versions obsolètes par rapport à l'année précédente. Joomla a fortement augmenté de 69,8 % en 2017 à 87,50 % en 2018, un changement de 17,7 %. Selon l'équipe d'analyse, ce qui explique cette forte augmentation des attaques sur Joomla est qu'il « ne possède pas actuellement la fonctionnalité pour les mises à jour automatiques, ce qui contribue à une plus grande fenêtre pour les pirates de cibler les vulnérabilités connues ». Pour les sites Web basés sur le CMS Magento, 83,1 % étaient pour la plupart obsolètes et vulnérables au moment du piratage, en hausse de 2,8 % par rapport à 2017. On remarque également des pourcentages élevés sur d'autres plateformes de commerce en ligne open source obsolètes, dont OpenCart (91,3 %) et PrestaShop (97,2 %).

« Cette tendance dans les versions dépassées soutient l'idée que les sites de commerce électronique sont réputés pour traîner sur les mises à jour pour éviter de casser les fonctionnalités et de perdre de l'argent. Malheureusement, il s'agit également de systèmes critiques qui constituent l'épine dorsale du commerce en ligne. Il s'agit également de sites gérés par des organisations qui ont l'obligation de se conformer aux normes établies par les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Les attaquants ont un grand intérêt à cibler les sites Web de commerce électronique avec des données précieuses sur les clients (les renseignements sur les cartes de crédit et les utilisateurs). Il est impératif que ces propriétaires de sites Web mettent à jour leur logiciel pour s'assurer que leurs sites disposent des dernières améliorations de sécurité et des correctifs de vulnérabilité », remarque l'équipe en charge de l'analyse.

Source : Rapport de l'étude

Et vous ?

Qu'en pensez-vous ?
Un de vos sites CMS a-t-il déjà fait l'objet d'attaque ? Comment gérez-vous la sécurité ?
Que conseilleriez-vous pour "garantir" la sécurité des sites CMS en ligne ?

Voir aussi

WordPress : le nombre de vulnérabilités a triplé en 2018, une étude pointe du doigt les plugins comme la principale source des failles du CMS

Une vulnérabilité inhérente à PHP met à risque des millions de sites web WordPress et l'équipe du CMS ne l'a toujours pas corrigée depuis 2017

Des chercheurs découvrent une faille dans le noyau de WordPress qui pourrait être exploitée pour supprimer des fichiers système du CMS

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 06/03/2019 à 1:05
on peut diviser ces ratio par les part de marchés de chaque CMS ? mettre ces valeurs comme ça sans considérer les part ne rime a rien
2  0 
Avatar de TheYoungGeek43
Membre du Club https://www.developpez.com
Le 07/03/2019 à 8:57
Bonjour
Il faudrait aussi montrer le nombre de site fait avec chaque cms
Et aussi faire les stats avec les sites fait sans CMS
1  0 
Avatar de Tillo
Membre confirmé https://www.developpez.com
Le 02/04/2019 à 8:42
Citation Envoyé par Aiekick Voir le message
on peut diviser ces ratio par les part de marchés de chaque CMS ? mettre ces valeurs comme ça sans considérer les part ne rime a rien
Je suis plutôt d'accord, pour que les pourcentages aient un sens, il faudrait que chaque CMS soit utilisé par le même nombre de personne alors que là, si ça se trouve, Wordpress est utilisé par 1 000 000 de personnes et ModX seulement par 5 000.
0  0