Les données des plateformes CMS piratées ne sont pas légion. Nous vous proposons un tour d’horizon des CMS les plus piratés.
Usage des CMS en janvier 2019
La W3techs suit l’usage des CMS pour les sites internet. A la date du lundi 21 janvier 2019, le top 10 des plateformes CMS utilisées étaient le suivant :
- WordPress : 32,9% des sites utilisent ce CMS
- Joomla : 3%
- Drupal 1,9%
- Squarespace : 1,5%
- Shopify : 1,5%
- Wix : 1.0%
- Magento : 1%
- Prestashop : 0.8%
- Blogger : 0.8%
- Typo3 : 0,7%
WordPress est le leader incontesté des plateformes CMS avec près de un tiers des sites propulsés par cette plateforme.
On notera que ce classement mélange des plateformes e-commerce et CMS pures. Nous n’avons pas de détail sur des plateformes CMS telles que WordPress qui peuvent être utilisées pour un site ou pour du e-commerce avec l’extension Woocommerce.
Les plateformes les plus piratées
Les statistiques ne sont pas nombreuses mais nous pouvons citer le rapport 2017 de la société Sucuri : “Hacked Website Report 2017”. Il ressort de cette étude que sur plus de 34000 sites piratés analysés, 83% des sites étaient propulsés par la plateforme WordPress. Suivent ensuite Joomla, Magento, Drupal et la plateforme e-commerce Opencart.
WordPress, CMS facilement piratable ?
Sucuri mentionne que la part des sites WordPress dans le total étudié est passé de 74% au 3e trimestre 2016 à 83% en 2017. Doit-on en conclure que WordPress est une solution pleine de failles de sécurité et à proscrire ?
Bien évidemment non, l’équipe de WordPress fourni régulièrement des mises à jour incluant des correctifs et améliorations de sécurité. WordPress étant le CMS le plus utilisé, il pousse les équipes de pirates à “travailler” à la découverte sur ce CMS. Il y a donc un biais dans les statistiques comme il y a quelques années où les virus ciblaient quasiment exclusivement le système d’exploitation Windows.
Une autre raison est la simplicité d’utilisation de WordPress. Inclus dans des packs d’hébergeurs, de nombreuses entreprises ou particuliers, installent WordPress en quelques clics et ajoutent des extensions (plugins) très facilement sans vraiment savoir comment tout cela va s’agencer. La multiplication des plugins va non seulement ralentir le site WordPress, mais aussi multiplier les bugs de sécurité potentiels. C’est d’autant plus vrai que de très nombreuses extensions ne sont plus mises à jour ou le sont tardivement après les montées de version de WordPress.
Enfin beaucoup d’utilisateurs de WordPress ne font pas les mises à jour du logiciel (ce qui n’est pas toujours aussi simple à faire). Des versions anciennes présentent un risque car avec le temps, les failles sont connues de tous et de nombreux robots malveillants effectuent des passages sur des sites pour identifier des failles. Ces robots ciblent particulièrement les sites WordPress.
Drupal, le CMS le plus sure ?
Largement moins utilisé que WordPress, Drupal a une solide réputation en matière de sécurité. Le rapport Sucuri montre toutefois que 1,6% des sites piratés sont des plateformes Drupal. Alors qu’en penser ?
Drupal est effectivement une solution très fiable, sous réserve de suivre quelques bonnes pratiques. L’équipe Drupal et les développeurs de modules et thèmes font un effort particulier en matière de sécurité. Pour garantir le fonctionnement et la sécurité de votre site il est essentiel de n’utiliser que des extensions garanties pour la sécurité avec la mention : Stable releases for this project are covered by the security advisory policy. Ceci est gage d’un suivi et de correctifs rapidement publiés dès la découverte d’une faille de sécurité.
Enfin, il convient, comme pour les autres CMS, d’appliquer les mises à jour de sécurité dès leur sortie.
Et Joomla! dans tout cela ?
Les résultats sur Joomla! sont inquiétants. Joomla! étant le second CMS le plus utilisé, il est une cible des pirates. Mais son usage est d’à peine 3% des CMS contre 1,9% pour Drupal; et l’on constate qu’il pèse pour 13% des sites piratés contre seulement 1,6% pour Drupal.
Ce CMS souffre clairement des mêmes problèmes que WordPress en matière de plugins où leur multiplication peut être à l’origine de failles de sécurité. Certains ne sont pas forcément mis à jour et d’autres lentement.
Jommla! est aussi un CMS ancien, il existe de nombreux site utilisant ce CMS qui ne sont pas mis à jour. Ces plateformes présentent donc des risques élevés en matière de sécurité.
Les plateformes e-commerce
Nous n’avons pas de détail sur les plateformes e-commerce associées aux CMS WordPress, Drupal, Joomla!, mais nous observons les statistiques pour des plateformes purement e-commerce comme Magento, Opencart et Prestashop. Magento étant très utilisé il est logique qu’il apparaisse en première position du classement des plateformes e-commerce piratées. Cette plateforme semble particulièrement ciblée par rapport à Opencart et Prestashop.
Il convient de prêter une attention particulière à votre site e-commerce de part les données de vos clients qu’il contient.
Conclusion
Quelque soit le CMS que vous utilisez, il y a toujours un risque de piratage. Une grande partie de ces piratages sont le fait de mots de passe très faciles à trouver. Nous vous conseillons de mettre en place un mot de passe d’au moins 15 caractères avec des chiffres, majuscules, minuscules et caractères spéciaux. Il est aussi important de prendre en compte la maintenance de votre site, ce qui à un coût, afin de réaliser des mises à jour de vos extensions et de votre plateforme lorsque c’est nécessaire. Ne multipliez pas les extensions tierces car elles peuvent être à l’origine de dysfonctionnements et de failles de sécurité. Ceci est d’autant plus vrai pour les sites e-commerce.
Vous avez des besoins de création d’un site vitrine, e-commerce, de support et maintenance, alors n’hésitez pas :
