Les vulnérabilités sont en provenance de la CMS Plug-Ins
Les systèmes de gestion de contenu sont au centre des cyber-criminels en raison de la disponibilité de plug-ins, grande attaque surfaces thèmes et des extensions. Les bulletins de nouvelles au cours des derniers mois ont révélé une augmentation du nombre de vulnérabilités et les attaques sur la gestion de contenu le plus populaire systems.Being le plus populaire de ces plates-formes, les sites fonctionnant sur WordPress reçu le plus grand nombre d'attaques - en moyenne 24 % plus que le reste des sites Web fonctionnant sur d'autres plates-formes CMS. Les chercheurs de malwares affirment que cela est normal, depuis plus de 75 millions de sites sont en cours d'exécution sur WordPress, par rapport à Drupal avec juste un peu plus de 1 millions de sites. Les attaques, toutefois, ne signifie pas que WordPress est moins sûr, juste que c'est le système le plus populaire de gestion de contenu.
Toutes les plates-formes connues, Y compris WordPress, Drupal et Joomla ont fait l'objet de divers défauts, où la plupart d'entre eux viennent de plug-ins tiers utilisés pour le site Web de personnalisation et non à partir du code.
Thee développeurs de automatique qui gardaient la base de code de WordPress sont très appréciés par les experts en sécurité. Le chercheur indépendant Ryan Dewhurst a récemment publié WPScan Vulnerability Database. Il présente les vulnérabilités de WordPress qu'il avait recueillis au fil des ans. En dépit de ces défauts, le testeur a opinion très positive sur l'équipe de développement de Word Press et pense que cette équipe fait tout son possible pour développer un logiciel sécurisé sans failles dans le code.
Selon l'expert en informatique Ryan Dewhurst, les vulnérabilités graves proviennent des plug-ins et les thèmes, qui sont écrits par des développeurs tiers, qui manquent d'expérience dans le domaine de la sécurité. La surface des attaques est également assez important. Les développeurs automatiques affirmer que la communauté WordPress a plus de 33 000 différents plug-ins et d'autres dans le pipeline. Encore, ce n'est pas seulement WordPress qui a un problème avec les plug-ins. Ces défauts sont question générale pour les autres plates-formes CMS ainsi.
50 000 sites Web piratés via Bulletins MailPoet plug-in pour WordPress
Les principaux cadres de la CMS sont caractérisés par un open-source et sont extensibles, afin que les gens décident d'ajouter des modules, extensions et plug-ins. Naturellement, ce grand nombre de plug-ins est très difficile à contrôler comme ils sont écrits par différentes personnes de diverses origines. Grâce à tout cela, les rapports de vulnérabilité concernant les cadres de la CMS sont abondants dans les hacks malveillants et de validation de concepts. À l'été 2014, plus que 50 000 sites ont été piratés en raison de la vulnérabilité trouvée dans les Bulletins MailPoet plug-in pour WordPress. En Septembre 2014 plus que 60 000 sites ont été touchés par la vulnérabilité de script trouvé dans Mollum – le module de contenu de modération pour Drupal. Au cours du même mois a été également trouvé une vulnérabilité dans le prolongement de la VirtueMart Joomla qui pourrait donner des attaquants plein contrôle d'un site affecté et base de données.
Le PDG de High-Tech Bridge Ilia Kolochenko dit que la difficulté vient du fait que les plug-ins ne peuvent pas être évités. Il en est ainsi que le site Web des propriétaires va toujours chercher des fonctions personnalisées spécifiques sur leurs sites Web que le CMS régulière ne peut offrir. Naturellement, les principales plates-formes CMS luttent aussi de nouvelles vulnérabilités, pourtant, ce sont juste une minorité par rapport au reste des attaques et sont assez faciles à exploiter. Les spécialistes de l'informatique et les chercheurs disent que les entreprises ne devraient pas être vigilant dans la mise à jour de leurs cadres CMS. Ils devraient également travailler avec les plug-ins créés par les grandes entreprises de développement.
