Le projet Joomla a publié une mise à jour importante pour sa série 3.6 : Joomla 3.6.4. Comme cette version comprenait un correctif pour un problème important de sécurité, Joomla a publié une annonce quelques jours auparavant indiquant la date de sortie exacte afin que les utilisateurs se préparent et planifient la mise à jour.
En tant que service d’aide à la mise à jour des sites Joomla (et Wordpress), nous avons ici, chez Watchful, une vue de premier rang sur ce processus. Certains développeurs d'extensions comme Akeeba et JCE ont également coordonné la publication des mises à jour avec la version 3.6.4 de Joomla.
Dès que Joomla 3.6.4 a été publié, les utilisateurs de Watchful ont commencé à se connecter et à mettre à jour leurs sites en utilisant notre 1-click updater.
Les modèles de mise à jour varient considérablement, avec des Watchers qui mettent seulement Joomla à jour - y compris certains clients qui mettent à jour plusieurs dizaines de sites à la fois - et d'autres qui prennent une approche plus prudente en mettant à jour Joomla ainsi que toutes les extensions d'un site à la fois.
Comme il y avait une activité de mise à jour importante cette semaine et que la sécurité d'un site Web n'a jamais été aussi cruciale dans l’actualité et la blogosphère, nous avons décidé d'examiner les taux d'adoption pour les différentes versions de Joomla et quelques extensions Joomla. Voici un résumé de ce que nous avons observé.
La série 3 est la plus populaire parmi les professionnels Joomla
Dans notre analyse, nous avons constaté que 82% de tous les sites sur Watchful s’exécutent sous Joomla 3.0 ou une version ultérieure alors que seulement 3% des sites sont sous Joomla 1.5. Ceci est une tendance encourageante puisque Joomla 1 et 2 ne sont plus pris en charge.
Bien sûr, il est important de noter que Joomla 1.5 - la plus ancienne version de Joomla supportée par Watchful - était déjà obsolète quand Watchful a été lancé. De plus, cette version ne supportant pas les mises à jour à distance, les propriétaires de ces sites ne sont pas nombreux sur Watchful. En conséquence, les sites utilisant Joomla 1.5 sont beaucoup, beaucoup plus nombreux en proportion que ce qu’on peut voir dans notre analyse.
Malgré cette mise en garde, la plupart des professionnels Joomla – qui forment actuellement nos principaux clients - ont pour la plupart migré leur site Joomla 1.5 vers une version plus récente avec 15% des sites en cours d'exécution sous Joomla 2.
Fig.1. Répartition des versions de Joomla pour les utilisateurs de Watchful.
Joomla 3.6 est la version la plus populaire
Lorsque nous nous concentrons sur Joomla 3, près de 90% des utilisateurs utilisent Joomla 3.6.x. En revanche, seulement 0,5% utilisent Joomla 3.3, 3.2, 3.1 et 3.0 (Joomla 3.0/ 3 dans le graphique ci-dessous).
Ceci est très encourageant et suggère que la mise à jour de la série Joomla 3 n'a pas été problématique.
Fig.2. Répartition des versions de Joomla 3 pour les utilisateurs de Watchful.
Taux d'adoption de Joomla 3.6.4 très élevé pour les professionnels
En regardant de plus près Joomla 3.6, nous voyons que 84% des utilisateurs ont adopté la version 3.6.4 en seulement 96 heures. C’est un taux d'adoption très élevé qui montre à quel point les utilisateurs professionnels de Joomla sont engagés par rapport à l'utilisateur moyen.
Avec ces chiffres à l'esprit, il serait intéressant de savoir si la nouvelle fonctionnalité de notification des mises à jour de Joomla publiée dans Joomla 3.5 a affecté les taux d'adoption des mises à jour de Joomla.
Fig. 3. Répartition des versions de Joomla 3.6 pour les utilisateurs de Watchful.
25% des sites sous Joomla 3 utilisent des logiciels vulnérables
Bien que les données ci-dessus affichent des résultats encourageant sur l’adoption de Joomla 3 et de ses mises à jour, une nouvelle analyse révèle une vérité dangereuse : seulement 75% des sites sous Joomla 3 utilisent la version la plus récente et la plus sûre. En d'autres termes, un site sur quatre peut être compromis par des failles connues.
L’adoption des versions les plus récentes pour les séries 1.5 et 2 de Joomla est beaucoup plus importante avec respectivement 91% et 94%. Ce n'est pas surprenant étant donné l'âge de ces versions. Mais compte tenu que ces versions ne sont plus prises en charge et que les failles connues ont été dans la nature pendant un certain temps, ces sites doivent être inclus dans notre analyse globale des sites vulnérables.
Si l'on combine toutes les données, nous avons constaté que seulement 62% des sites gérés dans Watchful sont en cours d'exécution sur la plus récente des versions de Joomla (version 3.6.4).
Fig.4. Proportion des sites Joomla s’exécutant sur la version la plus récente.
Le taux de mise à jour des extensions Joomla est inférieur à celui des mises à jour du noyau Joomla
Nous avons également examiné les taux d'adoption pour les extensions Joomla populaires telles que Akeeba Backup, Admin Tools, et l'éditeur de contenu JCE.
Comme indiqué ci-dessous, moins de 70% des sites utilisant Akeeba Backup utilisent la dernière version de l’extension. Cela est vrai tant pour la version de base (gratuite) que pour la version Pro.
L'extension gratuite JCE ainsi que la version de base et la version Pro d’Admin Tools affichent des taux d'adoption encore plus bas. Mais, il convient de noter que chacune de ces extensions possède une nouvelle version coordonnée avec la sortie de Joomla 3.6.4, donc les taux d'adoption vont probablement monter dans les prochains jours.
Fig.5. Proportion de sites Joomla avec les versions les plus récentes des extensions populaires.
Une grande différence par rapport à l'ensemble des installations de Joomla
Tout au long de cet article, Watchful s'est attaché à compiler et analyser des données au niveau des sites utilisant son composant.
Les tendances observées ici sont exacerbées au niveau de l'ensemble des installations de Joomla.
En effet, comme vous pouvez le voir sur les statistiques sur l'utilisation de Joomla, seulement 20% des sites sous Joomla 3.6 sont en cours d'exécution sur la dernière version de cette série.
Une plus grande conscience de l'importance des mises à jour est nécessaire
Dans l'ensemble, les données dressent un tableau mitigé de la sécurité des sites Web construits sur Joomla. Bien que l'adoption de la version la plus récente de Joomla 3.6 soit élevée, dans l'ensemble, au moins un site sur trois demeure vulnérable car il se base sur des logiciels obsolètes.
Et sur la base de notre analyse préliminaire sur quelques extensions populaires, il est raisonnable de conclure que ce nombre est beaucoup plus élevé sur les extensions car elles ne sont pas mises à jour aussi souvent que le noyau Joomla.
Enfin, nous avons constaté que l'adoption des mises à jour de Joomla est beaucoup plus élevée parmi les professionnels Joomla qui utilisent Watchful par rapport au grand public.
Compte tenu de tous ces facteurs, nous concluons que la mise à jour de Joomla est un grave problème pour la communauté en général. Pour résoudre ce problème, coordonner les campagnes de sensibilisation du projet Joomla, des agences Joomla, des hébergeurs et des utilisateurs de Joomla est urgent.
Voici ce que vous pouvez faire :
- Bien évidemment, en tant que propriétaire de site, les mises à jour de Joomla et de ses extensions deviennent une priorité,
- Demandez à vos amis et collègues s'ils ont vérifié les mises à jour pour leurs sites Joomla et publiez des liens de mise à jour des ressources sur vos canaux de médias sociaux.
- Discutez des mises à jour Joomla lors de votre prochain meeting User Group Joomla et demandez aux participants quelles versions de Joomla ils utilisent et s’ils les ont mises à jour.
- Si vous êtes propriétaire d'une société d'hébergement Web, envoyez un avis de mise à jour à vos clients.
- Si vous travaillez pour une agence Joomla ou une société d'hébergement Web, encouragez votre superviseur d'envoyer un avis de mise à jour à vos clients.
- Si vous êtes un bénévole du projet Joomla, coordonnez une série de messages sur les médias sociaux au cours des mois prochains pour informer les utilisateurs qui suivent les comptes officiels Joomla.
- Si vous êtes un modérateur sur les forums Joomla, envoyez un message aux membres pour les informer de l’importance des mises à jour
- Si vous faites du bénévolat sur le répertoire d'extension Joomla :
- envoyez des messages de notification à tous les développeurs pour leur demander de passer le mot à leurs listes de diffusion.
- forcez l'utilisation de l’utilitaire de mise à jour de Joomla pour toutes les extensions listées dans le répertoire.
Mettre à jour pour préparer pour Joomla 4
La future version majeure de Joomla 4 va constituer une étape importante pour accéder à de nouvelles fonctionnalités mais surtout à un environnement logiciel plus optimisé et sécurisé. Egalement ce saut qualitatif de Joomla va "tirer vers le haut" l'ensemble des extensions.
Dans ce contexte, les migrations des sites Joomla s'effectueront de manière simple et automatique à partir de la version de Joomla 3.9. En d'autres termes, voici une autre bonne raison de tout mettre en oeuvre pour mettre à jour sa version de Joomla, pour préparer la migration vers Joomla 4.