Que faire lorsqu'une faille de sécurité critique est annoncée sur son CMS ?

Quand une faille critique est publiée sur votre CMS ou l'une de ses extensions, considérez que le compte à rebours a démarré : les tentatives d'exploitation automatisées apparaissent souvent dans les heures qui suivent la divulgation publique, car le correctif lui-même indique aux attaquants où chercher. La bonne réaction est d'appliquer le correctif en urgence, sans attendre la fenêtre de maintenance habituelle.

La procédure d'urgence tient en cinq gestes :

  • Qualifier : votre site utilise-t-il réellement le composant vulnérable, et dans une version affectée ? Un bulletin de sécurité précise toujours les versions concernées.
  • Sauvegarder avant toute intervention (fichiers + base de données), pour pouvoir revenir en arrière.
  • Corriger : appliquer la mise à jour officielle. Si aucun correctif n'existe encore (faille dite « zero-day »), désactiver temporairement le composant ou mettre en place une règle de filtrage devant le site.
  • Vérifier qu'aucune compromission n'a déjà eu lieu : fichiers récemment modifiés, comptes administrateurs inconnus, journaux d'accès inhabituels.
  • Tracer l'intervention : date, version appliquée, résultat. Cette traçabilité est aujourd'hui exigée dans les questionnaires de sécurité fournisseurs.

Le vrai enjeu n'est pas technique, il est organisationnel : encore faut-il être informé de la faille. Cela suppose une veille de sécurité active sur chaque brique utilisée. C'est l'un des engagements du contrat de maintenance de site web de Pulsar : surveiller les bulletins, qualifier l'impact réel sur votre site et appliquer le correctif dans un délai contractualisé.