Pour la société de sécurité, la plupart des piratages sont la conséquence de vulnérabilités dans des plugins et des thèmes, d’erreurs de configuration, et d’un manque de maintenance par les webmasters, qui négligent souvent de mettre à jour CMS, thèmes, et extensions.
Les sites d’e-commerce boudent les patchs
Parmi les sites basés sur un CMS examinés par Sucuri, seulement 56% exploitaient un CMS à jour avant d’être victimes d’une attaque. Un système à jour est nécessaire, mais pas toujours suffisant pour se protéger des intrusions.
En effet, si 90% des sites piratés étaient sous WordPress, la plupart d’entre eux fonctionnaient avec des versions à jour. Sucuri signale que seulement 36% des sites WordPress piratés n’utilisaient pas une version à jour du CMS.
D’autre part, les CMS comme PrestaShop, OpenCart, Joomla et Magento, lorsqu’ils étaient piratés, fonctionnaient presque toujours sur une version obsolète.
« Cette tendance dans les versions obsolètes soutient l’idée que les sites de commerce électronique sont réputés pour traîner dans les mises à jour afin d’éviter de casser des fonctionnalités et de perdre de l’argent » observe Sucuri.
Pourtant, malgré le fait que certains sites utilisent des versions obsolètes d’un CMS, « la principale cause d’infection provenait des vulnérabilités des composants », et notamment des extensions, populaires, mais rarement mises à jour par exemple.