Les CMS comme Typo3, Drupal, WordPress ou Joomla fonctionnent selon le même principe : toutes les fonctions sont programmées dans un langage de script – pour les quatre candidats cités, il s’agit de PHP. Ces fonctions PHP analysent la requête envoyée par l’utilisateur au serveur web CMS via son navigateur web. À partir de là, d’autres fonctions PHP tentent de créer une réponse appropriée sous la forme d’un document HTML. Pour ce faire, PHP accède aux données d’une base de données – les CMS mentionnés sont généralement MySQL ou MariaDB. Alternativement, d’autres SQLite, PostgreSQL, OracleSQL ou MS-SQL peuvent également être utilisés. Des modèles ou des instructions sur la structure, l’apparence et le contenu de sites Web individuels restent en sommeil dans la base de données. PHP combine tout cela et crée un document HTML à partir de celui-ci, qu’il transfère au serveur Web (Apache, Nginx, IIS etc.). Cela fournit la page générée dynamiquement au navigateur.
Cela semble inutilement compliqué, en particulier pour les blogs et autres. De plus, les CMS sont sujets aux erreurs et aux vulnérabilités et expositions courantes (CVE). Chez Drupal, il y a eu un total de 200 CVE depuis 2002, chez Typo3 depuis 2005 193, et le populaire WordPress a eu un énorme 331 CVE depuis 2004 – cela représente environ 20 failles de sécurité documentées en moyenne par an (2019 : 23, 2020 : 21 ).
Les attaquants peuvent, par exemple, introduire clandestinement du code malveillant via des failles de sécurité, qui est ensuite transmis par le serveur Web à ses propres lecteurs et clients. Dans le pire des cas, le système et avec lui l’ensemble du serveur peuvent être compromis et tomber entre les mains de cybercriminels. Ils peuvent ensuite modifier, supprimer ou même télécharger leur propre contenu (illégal). Comme pour tout logiciel, CMS fournit également des mises à jour automatiques en guise de contre-mesure. Ce faisant, cependant, ils courent toujours après les lacunes dues à leur principe. Il ne peut y avoir de solution que si un trou a été identifié au préalable. Si vous regardez de plus près les fichiers journaux de votre CMS, vous constaterez rapidement qu’il y a déjà des attaques massives contre cette vulnérabilité peu de temps avant une mise à jour. Les attaques sont également automatisées et proviennent de réseaux organisés dans le monde entier et contrôlés par script. Il est presque impossible pour l’opérateur CMS normal de se défendre de manière proactive contre ces attaques. Si vous n’êtes pas vous-même un administrateur expérimenté, vous devez vous fier à un prestataire qui héberge WordPress ou à l’un des autres CMS préinstallés. Ici, vous pouvez supposer des temps de réponse raisonnablement rapides en cas de problème et vous n’avez pas besoin d’être vous-même constamment à l’affût. Mais bien sûr, cela coûte de l’argent.
Source de l’article
Avis de non-responsabilité : cet article est généré à partir du flux et n’est pas modifié par notre équipe.