De tels CMS, modernes, permettent de gérer facilement des sites Internet et de publier de nouveaux contenus. Cependant, avec tout le confort que cela apporte, on a parfois tendance à oublier qu’un logiciel – tout comme une voiture – nécessite un entretien régulier. C’est ce que démontrent également les chiffres publiés dans le dernier rapport semestriel de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI.
Effrayant: plus de 70% des sites WordPress suisses ne sont pas protégés
En prenant comme exemple deux failles de sécurité de WordPress (CVE-2015-3429 et CVE-2015-3440 survenues l’année dernière, MELANI démontre en effet qu’un nombre effrayant d’exploitants de sites Internet suisses investissent très peu dans la sécurité de leurs propres sites Internet. Bien qu’une mise à jour de sécurité fut mise à disposition dès le lendemain pour les deux failles de sécurité, près de 75% de toutes les installations WordPress en Suisse n’avaient toujours pas installé la mise à jour de sécurité au bout de deux semaines.
Cela ne fait rien? Si: les conséquences sont fatales pour les propriétaires de sites Internet!
Sachant que des outils appropriés permettent de détecter automatiquement les sites Internet insuffisamment protégés, les criminels n’ont aucun mal à manipuler ensuite ces sites Internet au moyen de maliciels ou de virus. Mais la situation peut être pire encore: si l’attaquant obtient un accès aux données en passant par la faille de sécurité, il peut même faire chanter le propriétaire du site Internet. Selon MELANI, cela est déjà arrivé à plusieurs reprises au cours du premier semestre 2015 – surtout dans des PME.
Une fois le site Internet piraté, cela entraîne d’autres conséquences désagréables. Pour prévenir des dommages supplémentaires, par exemple pour les visiteurs des sites, nous, en tant qu’hébergeur Web, sommes obligés de bloquer les sites Internet concernés. Si, en plus, le site Internet est exploité sur un domaine .ch, il existe un risque réel que le registraire de domaines suisse bloque le nom de domaine. Ainsi, le site serait non seulement inaccessible, mais l’envoi et la réception d’e-mails, par exemple, ne seraient également plus possibles.
On ne peut que spéculer sur les raisons pour lesquelles les CMS, ou plus généralement les applications Web, ne sont pas entretenus et mis à jour régulièrement. Il est certain que de nombreux utilisateurs ne se rendent même pas compte qu’un logiciel nécessite également un entretien régulier. Les sites Internet qui ont par exemple été créés par une agence pour un client posent également de gros problèmes. Lorsque le projet est terminé, les pages Internet sont transmises «clés en main» au client, y compris le CMS. Le plus souvent, le client n’est pas conscient qu’il devra alors entretenir convenablement ces installations.
Protégez-vous à temps!
Par conséquent, tout exploitant de site Internet a intérêt à entretenir régulièrement ses pages Internet et les applications associées. Cela comprend par exemple l’installation rapide des mises à jour de sécurité et autres mises à jour fournies par les fabricants. Cela s’applique aussi et surtout aux plug-ins. Les plug-ins non utilisés devraient en effet non seulement être désactivés, mais également supprimés du serveur Web. Par ailleurs, les pages Internet qui ne sont pas exploitées, par exemple les installations d’essai, devraient être supprimées du serveur. MELANI a résumé dans un document PDF d’autres mesures de précaution possibles.
