Bonjour,

Exactement ! Mais avec de vieilles versions Joomla 3 c'est pareil.

Selon moi, l'intérêt de cette vidéo réside principalement dans la compréhension des méthodes de fonctionnement des hackers, plutôt que dans son utilisation pour débattre entre Wordpress et Joomla.

Pour quelles raisons, un site est piraté et en particulier wordpress ?

Comme indiqué dans la première partie de l'interview, Le piratage des sites, en particulier ceux sous Wordpress, peut être attribué au grand nombre d'utilisateurs et aux failles présentes dans les extensions tierces plutôt qu'au CMS lui-même. Cependant, les mêmes problèmes peuvent survenir sur d'autres CMS ; c'est juste que les hackers ciblent plus facilement les utilisateurs de Wordpress en raison de leur nombre.

Sous wordpress, il y a de nombreux plugins et une faille dans un plugin utilisé à grande echelle peut causer des dégats considérables. Les raisons des failles dans les extensions tierces sont diverses et peuvent également s'appliquer à Joomla. Par exemple :

• L'extension est payante ou le budget de fonctionnement ne permet pas de renouveler la licence. Dans le lot, on a aussi des agences web qui proposent de concevoir un site à gros budget (plusieurs milliers d'euros) sans assurer la maintenance afin de facturer à prix fort le moindre changement. Certains vont même jusqu'à proposer du leasing pour de la facilité de paiement (donc l'agence est payé et le client se retrouve avec de la location avec une banque). C'est une réalité un peu sombre car ces sites sont considérés comme des "one-shoot", le client lésé se sent comme trahi et il fait généralement une croix sur l'activité internet.
• L'absence de suivi des extensions ou l'incapacité à trouver une alternative peut conduire à des failles. La gratuité peut avoir ses limites mais ce n'est pas la seule excuse... C'est le problème également de la personne qui ne connait pas la communauté et s'isole au lieu de demander de l'aide. Il y a une différence des échanges notamment entre les cms mais aussi entre les réseaux sociaux et les forums d'entraide. Sur le forum de joomla.fr, on est de nature ouverte et bienveillante (y compris avec les débutants) si on se montre correct vis à vis de contributeurs bénévoles (faut quand même un minimum de respect mutuel). Et généralement, cela fait plaisir de se rencontrer lors des événements comme le joomladay ou le PBF (Pizza Bugs and fun).
• Télécharger des extensions à partir de sites non officiels peut entraîner l'injection de logiciels malveillants dans les versions des extensions. Bien que cela puisse être à la limite de la légalité, le risque est réel.

Les problèmes de piratage rencontrés avec les extensions tierces sont valables également avec le code des templates (les thèmes sur wordpress), particulièrement les frameworks de templates.


Pourquoi on ne met plus à jour un site et ses extensions ?

Tout d'abord, les erreurs lors du processus de mise à jour peuvent dissuader certains utilisateurs de continuer à le faire. Parfois, une mise à jour peut entraîner des conflits avec d'autres composants ou le template du site, provoquant des erreurs ou des dysfonctionnements (cela existe également sur wordpress). Ces problèmes techniques peuvent décourager les propriétaires de sites de procéder à de futures mises à jour, surtout s'ils ne se sentent pas à l'aise pour résoudre ces problèmes.

De plus, le manque de compétences techniques peut également être un obstacle majeur. Tous les propriétaires de sites ne sont pas des experts en développement web, et la gestion des mises à jour peut sembler complexe pour certains malgré l'automatisation. L'absence de connaissances techniques adéquates peut conduire à des erreurs lors de la mise à jour, ce qui peut potentiellement causer des problèmes de sécurité ou de fonctionnement du site.

Enfin, il y a souvent une tendance à sous-estimer l'importance des mises à jour de sécurité. Certains utilisateurs peuvent être tentés de reporter les mises à jour parce qu'ils ne voient pas immédiatement les avantages ou les conséquences d'une mise à jour non effectuée. Cependant, chaque jour où un site n'est pas mis à jour augmente le risque de compromission par des hackers exploitant des failles de sécurité connues.​

Comment les hackers trouvent les failles des anciennes versions ?

Les hackers trouvent des failles dans les anciennes versions en recherchant activement des vulnérabilités. Les correctifs de sécurité sont publiés par les équipes de sécurité des CMS et signalés dans un registre international. Les chercheurs divulguent parfois leurs méthodes, ce qui permet à quiconque de les reproduire. En France, c'est cert-fr qui effectue les alertes de sécurité : https://www.cert.ssi.gouv.fr/alerte/ , on peut également retrouver sur vigilance.fr d'Orange.

Dans le détail indiqué dans les alertes de sécurité, on retrouve l'origine et parfois le chercheur publie également sa méthode (notamment sur github) qui a permis de trouver cette faille (qui est désormais corrigée dans la mise à jour). Et là, vous avez deviné que n'importe qui en âge de comprendre (donc même à 12-13 ans) peut essayer de reproduire ces failles de sécurité sur des sites utilisant le CMS ou les extensions simplement en suivant la démonstration.

L'année dernière, ce fut le cas d'acymailing :
https://vigilance.fr/vulnerabilite/Joomla-AcyMailing-Cross-Site-Scripting-42061

mais aussi les versions de Joomla : https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0981/

Comme Joomla 3 n'est plus suivi que par l'option ELTS ( mise à jour Joomla 3.0.14 sous licence ELTS payante ! ), Tom a gentiment publié le correctif car il existe encore de nombreux sites sous joomla 3 et on a heureusement beaucoup de personnes bienveillantes. Voir la discussion : https://forum.joomla.fr/forum/joomla-3-x/installation-et-mise-%C3%A3%C2%A0-jour-de-joomla-3-x/2060180-s%C3%A9curisation-avant-refonte-ult%C3%A9rieure?p=2060197#post2060197 ainsi que la video de Tim Davis :



Pourquoi Joomla est meilleur que Wordpress ?

Joomla est préféré à Wordpress pour sa communauté réactive et collaborative, ainsi que pour ses fonctionnalités natives et ses mesures de sécurité avancées. Il suffit de lire par exemple les publications sur la faille d'acymailing pour comprendre que l'on aura mis la pression et l'équipe de sécurité de Joomla aura collaboré bénévolement avec les développeurs de l'extension pour que leur faille soit corrigée. Donc un happy end pour un problème pour beaucoup de sites à travers le monde.

En somme, bien que Wordpress soit populaire, Joomla offre une alternative solide en termes de sécurité et de fonctionnalités, ce qui peut être préférable dans certains cas. Pour égaler nativement Joomla en SEO, sécurité et accessibilité avec Wordpress, il faudrait ajouter autant de plugins que de voitures dans un embouteillage à l'heure de pointe - ça n'ira nulle part rapidement et ça finira par bloquer complètement ! ok je sors... Mais bon, blague à part, il y a une part de vérité dans cette métaphore quelque peu exagérée.

​