Pour améliorer la sécurité d’un site, mieux vaut ne pas en parler…
La popularité d’un logiciel de gestion web, fait qu’il est également connu des pirates informatiques… Et actuellement, les serveurs sont devenus de véritables citadelles qui reçoivent continuellement des flots de requêtes pas toujours innocentes.
Afin d’être en accord avec la sécurité de nos serveurs, les logiciels CMS gérant les sites web de nos clients ont été renforcés en matière de barrières anti-intrusions.
Pourquoi améliorer la sécurité d’un CMS ?
Parce que, à l’état brut, ce sont de véritables passoires, ne serait-ce qu’à cause de la possibilité de télécharger des images, et donc d’avoir un dossier ouvert en écriture sur le serveur. Sans parler de la myriade de modules complémentaires que l’on peut rajouter, les yeux fermés, sans avoir inspecté le code source au paravent : c’est si facile d’envoyer des informations cachées à un tiers mal intentionné… Ou encore, cette erreur d’oublier de réinterdire l’écriture sur des fichiers qui ont du être ouverts en écriture uniquement pour les paramétrages d’un module.
Ce n’est donc pas le serveur en lui-même qui pose problème, mais surtout ce qu’on lui met dessus. On peut donc séparer trois couches successives en matière de sécurité web :
- Le serveur
- Le logiciel CMS de gestion du site web
- Et les différents modules complémentaires (plugins, thèmes, etc…)
Le serveur :
C’est avant tout l’affaire de l’hébergeur (administrateur réseau) et de l’administrateur du serveur (donc, un peu notre affaire également). Et là, pour un serveur de production, à l’opposé d’un serveur de tests, mieux vaut opter pour la fiabilité et (en second lieu) la performance. Un système d’exploitation le plus stable possible et simple pour ce qu’on lui demande : être un serveur. Pas un poste de travail bardé de gadgets qui alourdissent la mémoire vive ou la partition “var”, et qui de fait, ralentissent l’affichage des pages web, voire ne les affichent pas du tout, suite à un blocage.
>> Voir notre article pour améliorer la vitesse d’affichage des pages web de CMS…
Le logiciel CMS :
Le logiciel de gestion du contenu web, comme tout logiciel, évolue tout au long de sa vie pour deux principales raisons :
- Rajouter des fonctionnalités nouvelles sous la pression des usagers.
- Combler des failles de sécurité non visibles lors de la création du CMS.
Il possède donc forcément des failles de sécurité, car même après la phase de tests grandeur nature avec la version béta du CMS, il subsiste des failles qui ne seront visibles qu’à l’usage du logiciel, au cours de sa vie en production, et donc comblées avec l’adjonction de correctifs.
Ce qui implique qu’avoir régulièrement des mises à jour, est un signe de bonne santé de la communauté des programmeurs de la core team, qui assurent une bonne protection du logiciel CMS contre ces failles de sécurité. Le tout est bien sûr de rajouter ces correctifs dès leur disponibilité… Évidemment.
Les modules complémentaires :
Quant à eux, il y en a des milliers téléchargeables depuis l’internet et qui s’installent en un seul clic. Tellement bien parfois, que l’on a oublié l’inspection du code… Qui vous dit que celui fraîchement installé, ne se comporte pas comme un cheval de troie, en envoyant des informations à un tiers ?
Règle numéro un : installer des modules à partir des sites officiels des CMS correspondants.
Et là aussi, il faut veiller à installer dès leur mise à disposition, les correctifs de ces modules complémentaires.
Règle numéro deux : préférer des modules récents.
Règle numéro trois : c’est du code ouvert… Inspecter le code en prenant le temps de jeter un coup d’œil.
Ne soyons pas paranoïaques… Mais quand même :
>> Voir l’article sur les risques des hébergements de données informatiques…
Vous êtes intéressé par un hébergement professionnel ?
Vous souhaitez voir le détail technique des plans ?
POUR PLUS D’INFORMATIONS
OU UNE DEMANDE SUR MESURE :
CONTACTEZ-NOUS…