Conjointement à mon activité principale je m’occupe également de gérer quelques sites vitrines pour d’autres entreprises .Une expérience récente m’a enseigné qu’il fallait être très attentifs aux mises à jour.
Le CMS , un outil évolutif mais vulnérable.
L’utilisation d’un cms comme Joomla,Drupal ou WordPress (il en existe une multitude, pour plus d’informations voir ici ) permet de mettre en place rapidement un site avec un minimum de connaissances sans avoir à tout coder.Les inconvénients présentés par ces outils sont directement en relation avec leurs avantages.
En effet ils sont très largement utilisés et présentent beaucoup d’attrait pour les pirates ou hackers qui en connaissent bien les failles. Si le code n’est pas suffisamment sécurisé un hacker pourra prendre un contrôle quasi total du cms en y injectant du code php par le navigateur.
La mise à jour,une protection indispensable.
La plupart des cms étant des solutions Open Source développées par la collectivité connaissent des évolutions constantes et des mises à jour régulières.Ces mises à jour permettent souvent des améliorations notables de l’interface et des possibilités de développement nouvelles pour le site , mais un grand nombre d’entre elles ne font que corriger quelques bugs et les plus indispensables sont celles qui corrigent les « failles de sécurité ».
Ces corrections du code empêchent justement des intrusions incontrôlables au cœur du site entrainant sa perte de contrôle et parfois sa destruction (effacement de fichiers,détournement du site pour Mass Mailing ou autre ,etc …).
La copie de sauvegarde , une assurance vie.
Règle de base en informatique en général et pour les web-masters en particulier, effectuer des sauvegardes régulières de son travail et de son site en l’occurrence. Il sera ainsi possible de reprendre le travail là où il a été interrompu si le site est irrémédiablement hacké . la solution post-piratage la plus sure étant l’effacement total des fichiers du site et la réinstallation d’une version plus sécurisée ainsi que diverses précautions supplémentaires (fichiers .htaccess et autres).
Ce que je dois faire pour être plus tranquille.
- Pour partir du bon pied il est bon de choisir une solution cms facile à mettre à jour.Wordpress en est un bon exemple car les mises à jour sont régulières et se font automatiquement en Back-Office.
- Mettre à jour régulièrement afin d’éviter tout problème.
- Vérifier la qualité des plug-ins ou modules installés afin qu’ils ne présentent pas de faille supplémentaire.
- Vérifier les fichiers sur ftp afin de déceler la présence d’un intrus qu’un hacker aurait pu y glisser.
- Installer une routine de sauvegarde régulière ou en faire une après chaque modification du site.
- Ne jamais penser que « ça n’arrive qu’aux autres » et être attentif , il est souvent trop tard lorsque l’on constate qu’un mauvais fonctionnement du site est du à une intrusion malveillante.
Je ne suis pas forcément d’accord, Drupal est un CMS très sécurisé si vous effectuez les maintenances du cor de Drupal et si vous utilisez pour coder l’API proposer par Drupal.
Si vous faites du développement custom sans API, là vous risquez d’avoir de nombreuses failles.
C’est vrai que les MAJ WordPress sont plus simples mais ce CMS est très vite limité en fonctionnalités.
Je n’ai pas encore utilisé Drupal dont j’ai effectivement lu le plus grand bien. WordPress est d’un abord plus simple, pour le plus grand nombre , et connait des développements multiples même pour le e commerce avec WooCommerce.
Merci de votre remarque qui me pousse à m’intéresser davantage à Drupal.