Les enjeux pour votre site web en 2019
Enjeu N°1 : La Cybersécurité
Selon la société de cybersécurité Radware, le coût moyen d’une cyberattaque a dépassé 1 million de dollars en 2018.
Qu’ils visent le serveur qui héberge votre site, l’outil vous permettant de mettre à jour vos contenus (CMS), les hackers ont de multiples portes et moyens de nuisance. Nous ferons aujourd’hui un focus rapide sur les attaques DDOS revenues en force en 2018 et qui rendent votre site inaccessible ainsi que sur la « dangerosité potentielle » des plugins installés sur votre CMS.
Couche infrastructure – focus DDOS
Les attaques DDOS revenues en force en 2018 et ne devraient pas diminuer. L’accroissement a d’ailleurs été particulièrement marqué entre le deuxième et le troisième trimestre 2018 selon un rapport du Link11 : +71%. Les attaquants s’appuyant massivement sur des machines zombies (on retrouve ici la problématique de la sécurité des objets connectés) et la possibilité qu’offre les serveurs cloud.
A savoir : Les attaques étaient concentrées principalement les week end entre 16h00- minuit.
A faire à minima
- Eviter d’être sur un serveur mutualisé avec des sites « exotiques »
- S’assurer qu’un firewall est présent et paramétré dans les règles de l’art
- Disposer d’un infogéreur ou d’une prestation d’infogérance 24/7
- Mettre en place un monitoring du site permettant une remontée d’alerte en cas de pic de fréquentation, ou d’indisponibilité du site. Ouvrir un ticket auprès de l’infogéreur ou l’hébergeur (après une analyse celui-ci sera à même de black lister les IP afin de mettre fin à l’attaque)
Couche applicative – focus plugins
Comme la quasi-totalité des sites, votre site internet est certainement propulsé par un CMS (Content Management Système). Qu’il se nomme Wordpress (environ 18 M de sites web) ; Joomla ! (environ 2,5 M de sites) Drupal (environ 772 000), Typo3 (environ 425 000) (source 1&1)…. tous fonctionnent avec des plugins. Parfois essentiels, parfois superflus, installés nativement, achetés, téléchargés gratuitement ou même développés spécifiquement ces plugins sont une source principale de vulnérabilité des CMS.
S’il est leader en nombre de site, WordPress se retrouve tout aussi leader dans le nombre de vulnérabilités détectées. Dans une étude Impréva relayée par developpez.com ce nombre aurait même triplé entre 2016 et 2018. Avec 542 vulnérabilités enregistrées pour WordPress (vs 150 bogues Joomla et Drupal combinés), il est particulièrement important d’analyser les plugins. La quasi-totalité de ces vulnérabilités ne résultant pas du niveau de sécurité des plateformes (2% pour WP) mais bien des plugins installés.
Parmi les 10 plugins vulnérables sur WP se trouvent (Event Calendar WD, Ultimate Member, Coming Soon Page, GD Rating System, Contact Form by WD, WPGlobus, From Maker, Ninja Forms, Affiliates Manager, Duplicator Pro)
A faire à minima
Analyser tous les plugins de votre site pour:
- Supprimer ceux qui ne vous servent pas
- S’assurer que ceux qui vous servent soient à jour et non corrompus
- Suivre les informations de la communauté ainsi que les publications du CERT (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques). Un avis de sécurité a d’ailleurs été publié pas plus tard que le 17/01/2019 concernant de multiples vulnérabilités dans Drupal (Risques Exécution de code arbitraire à distance et Atteinte à la confidentialité des données)
Article à suivre : Enjeu N°2 Le SEO (référencement naturel)
Emmanuel Coudurier
