Correctifs de sécurité critiques pour Craft CMS : Protégez votre site contre les attaques actives

Il ne s'agit pas d'une mise à jour « souhaitable » — c'est un correctif d'urgence qui pourrait sauver votre site d'une compromission complète. Voici tout ce que vous devez savoir pour protéger votre projet Craft CMS.

Ce qui se passe actuellement

Trois vulnérabilités critiques sont activement exploitées :

CVE-2025-32432 permet aux attaquants d'exécuter du code arbitraire via le point de terminaison de transformation d'images de Craft. Cela signifie qu'ils peuvent exécuter n'importe quelles commandes sur votre serveur.

CVE-2025-35939 permet aux attaquants d'injecter du code malveillant sans aucune authentification. Ils n'ont même pas besoin de se connecter pour attaquer votre site.

CVE-2025-23209 permet l'injection de code lorsque la clé de sécurité est compromise, ce qui arrive souvent après l'exploitation des autres vulnérabilités.

Des robots automatisés scannent internet à la recherche de sites Craft CMS vulnérables. Si votre site n'est pas corrigé, vous laissez essentiellement la porte d'entrée grande ouverte.

Vérifiez votre version de Craft CMS maintenant

Avant tout, vous devez savoir quelle version vous utilisez. Dans le répertoire de votre projet, exécutez :

composer show craftcms/cms

Ou vérifiez dans votre panneau de contrôle Craft CMS sous Paramètres → Mises à jour.

Voici les versions dont vous avez besoin pour être en sécurité :

• Craft CMS 5.x : Mettez à jour vers 5.6.17 ou ultérieur
• Craft CMS 4.x : Mettez à jour vers 4.14.15 ou ultérieur
• Craft CMS 3.x : Mettez à jour vers 3.9.15 ou ultérieur
• Framework Yii : Mettez à jour vers 2.0.52 ou ultérieur

Si vous utilisez une version antérieure à celles-ci, vous êtes vulnérable.

Étapes de correction de sécurité d'urgence pour Craft CMS

1. Sauvegardez tout d'abord

Ne sautez pas cette étape. Sauvegardez votre base de données et tous les fichiers avant d'apporter des modifications :

# Sauvegarde de la base de données
mysqldump -u nom_utilisateur -p nom_base_donnees > sauvegarde_$(date  %Y%m%d_%H%M%S).sql

# Sauvegarde des fichiers
tar -czf sauvegarde_fichiers_$(date  %Y%m%d_%H%M%S).tar.gz /chemin/vers/votre/projet/craft

2. Mettre à jour Craft CMS

Mettez à jour vers la dernière version sécurisée :

composer update craftcms/cms

Si vous voulez cibler une version spécifique :

composer require craftcms/cms:^5.6.17

3. Mettre à jour toutes les dépendances

N'oubliez pas les extensions et le framework Yii :

composer update

Si vous utilisez Yii directement, assurez-vous qu'il soit mis à jour :

composer require yiisoft/yii2:^2.0.52

4. Exécuter les migrations de base de données

Après la mise à jour, exécutez toutes les migrations en attente :

php craft migrate/all

5. Faire la rotation de vos clés de sécurité

C'est critique. Générez une nouvelle clé de sécurité :

php craft setup/security-key

Mettez à jour votre fichier `.env` avec la nouvelle valeur `CRAFT_SECURITY_KEY`. Faites cela sur tous les environnements (test, production, etc.).

6. Vérifier la compromission

Si vous soupçonnez que votre site pourrait déjà être compromis, recherchez :

• Des fichiers inhabituels dans vos répertoires de téléchargements ou publics
• Des utilisateurs administrateurs inattendus dans votre panneau de contrôle
• Des entrées étranges dans vos journaux d'accès
• Des fichiers modifiés qui n'auraient pas dû changer

Si vous trouvez quelque chose de suspect, envisagez de mettre votre site hors ligne temporairement pendant que vous nettoyez.

Mesures de protection avancées pour Craft CMS

Forcer la réinitialisation des mots de passe

Si vous soupçonnez une compromission, forcez tous les utilisateurs à réinitialiser leurs mots de passe :

php craft resave/users --set passwordResetRequired --to "fn() => true"

Bloquer les demandes malveillantes

Si vous utilisez Nginx, vous pouvez bloquer les modèles d'attaque connus :

location /index.php {
    if ($request_method = POST) {
        set $block 0;
        if ($request_uri ~* "actions/assets/generate-transform") {
            set $block 1;
        }
        if ($block) {
            return 403;
        }
    }
}

Restreindre l'accès administrateur

Limitez l'accès au panneau d'administration aux adresses IP de confiance. Ajoutez ceci à votre configuration Nginx ou Apache :

location /admin {
    allow 192.168.1.0/24;
    allow 10.0.0.0/8;
    deny all;
}

Activer l'authentification multifacteur

Configurez l'AMF pour tous les comptes administrateurs. Vous pouvez utiliser des extensions comme Two-Factor Authentication pour Craft CMS.

Problèmes courants de mise à jour Craft CMS et solutions

Conflits de dépendances Composer : Si vous obtenez des erreurs de dépendances, essayez de mettre à jour les extensions d'abord, puis Craft CMS :

composer update craftcms/nom-extension
composer update craftcms/cms

Le site tombe pendant la mise à jour : Utilisez le mode maintenance avant la mise à jour :

php craft off
# Effectuez vos mises à jour
php craft on

Les extensions se cassent après la mise à jour : Vérifiez la compatibilité de chaque extension avec votre nouvelle version de Craft. Désactivez temporairement les extensions problématiques :

php craft plugin/disable nom-extension

Surveillance et prévention

Configurer la surveillance des journaux

Activez la journalisation détaillée dans votre `config/general.php` :

return [
    'enableLogging' => true,
    'logLevel' => 'info',
];

Surveillez les activités suspectes dans vos journaux, particulièrement :

• Multiples tentatives de connexion échouées
• Demandes POST inhabituelles vers les points de terminaison de transformation d'images
• Demandes avec des paramètres `__class`

Audits de sécurité réguliers

Utilisez des outils comme Snyk ou le Local PHP Security Checker pour scanner les vulnérabilités :

# Installer local-php-security-checker
composer global require enlightn/security-checker

# Exécuter la vérification de sécurité
security-checker security:check

Garder les dépendances à jour

Configurez la vérification automatisée des dépendances dans votre pipeline CI/CD. Des outils comme Dependabot peuvent automatiquement créer des demandes de tirage lorsque des mises à jour sont disponibles.

Construire un flux de travail axé sur la sécurité

Tests d'environnement de test

Testez toujours les mises à jour dans un environnement de test d'abord :

• Déployez votre site de production vers le test
• Appliquez les mises à jour et testez minutieusement
• Déployez en production seulement après avoir confirmé que tout fonctionne

Calendrier de mise à jour

N'attendez pas les urgences. Établissez un calendrier de mise à jour régulier :

• Correctifs de sécurité critiques : Immédiat (dans les 24-48 heures)
• Mises à jour mineures : Hebdomadaire ou bihebdomadaire
• Mises à jour de versions majeures : Mensuel, avec tests approfondis

Communication d'équipe

Assurez-vous que tous les membres de votre équipe connaissent les procédures de sécurité :

• Abonnez-vous aux avis de sécurité Craft CMS
• Configurez des alertes pour les annonces de vulnérabilités CISA
• Documentez votre plan de réponse aux incidents

Que faire si vous êtes déjà compromis

Si vous découvrez que votre site a été compromis :

• Mettez le site hors ligne immédiatement
• Restaurez à partir d'une sauvegarde propre (avant que la compromission n'ait eu lieu)
• Appliquez tous les correctifs de sécurité avant de remettre le site en ligne
• Auditez tous les comptes utilisateurs et supprimez ceux qui sont suspects
• Révisez et faites la rotation de tous les identifiants (mots de passe de base de données, clés API, etc.)
• Surveillez étroitement les signes de re-compromission

Rester protégé à l'avenir

S'abonner aux notifications de sécurité

• Avis de sécurité Craft CMS
• Vulnérabilités exploitées connues CISA
• Infolettre Craft CMS

Utiliser des outils de sécurité

• Pare-feu d'application web (WAF) : CloudFlare, AWS WAF, ou similaire
• Scanners de vulnérabilités : Snyk, OWASP ZAP, ou Nessus
• Services de surveillance : New Relic, DataDog, ou similaire

Maintenance régulière

La sécurité n'est pas une tâche ponctuelle. Intégrez-la à votre routine de maintenance régulière :

• Révisions de sécurité mensuelles
• Tests de pénétration trimestriels
• Audits de sécurité annuels

Agissez maintenant

Plus vous attendez, plus votre risque augmente. Les attaquants scannent activement à la recherche de sites Craft CMS vulnérables en ce moment même. Voici votre plan d'action immédiat :

• Vérifiez votre version - Faites-le maintenant
• Sauvegardez votre site - Ne sautez pas cette étape
• Mettez à jour immédiatement - Appliquez tous les correctifs aujourd'hui
• Faites la rotation des clés de sécurité - Générez de nouvelles clés après le correctif
• Surveillez la compromission - Vérifiez les journaux et fichiers pour toute activité suspecte

Si vous gérez plusieurs sites Craft CMS, priorisez-les par importance et corrigez d'abord les plus critiques.

Rappelez-vous : Un site web compromis peut mener au vol de données, aux attaques de rançongiciels et à de sérieux dommages à votre réputation. Les quelques heures que vous passez à corriger aujourd'hui pourraient vous sauver des semaines de travail de récupération plus tard.

N'attendez pas — corrigez vos sites Craft CMS maintenant.