Formation Logo Joomla Joomla!


Sécuriser son site Joomla


Tout site web qui en ligne peut être visité, et pas uniquement par des programmes et des personnes bienveillantes. Nous allons donc aborder ce chapitre dédié à la sécurité en voyant comment sécuriser son site Joomla!

Inutile de se mentir, il n'existe pas de protection infaillible pour sécuriser un site web. Tout au plus, vous pourrez retarder l'effraction plus ou moins longtemps mais vous ne pourrez pas empêcher un hacker chevronné de passer. Sans verser dans la paranoïa sécuritaire, sachez quand même que quelques mesures simples peuvent vous permettre de "mieux dormir."
En matière de sécurité, il existe 3 grandes typologies :

  • Le nihiliste : il vit dans le déni, pense que le monde est peuplé de lapins roses et n'a aucune sécurité sur son site web,
  • L'étourdi : il a totalement sécurisé l'accès au panneau d'administration et a totalement oublié tout le reste,
  • Le prudent : il a lu et appliqué tous les conseils qui suivent ;)

Parlant de sécurité, retenez qu'il s'agit avant tout d'un "travail" régulier et qu'il doit être mené sur le long terme pour être le plus efficace possible.


Si vous ne comprenez pas une préconisation en matière de sécurité, ne l'appliquez surtout pas. Il est préférable de ne mettre pratique uniquement ce que vous comprenez et ce que vous maîtrisez. A défaut, adressez-vous à un professionnel.


Sécuriser, mode d'emploi

Utilisez de bons mots de passe

Nous l'avons vu lors de l'étape d'installation de Joomla, vous devez choisir un mot de passe pour créer votre compte "super administrateur". En terme de sécurité, le choix de vos mots de passe est primordial. J'utilise volontairement le pluriel ici : ne choisissez surtout pas le même mot de passe pour tous vos accès, que cela soit vos comptes mail, vos comptes en ligne, vos comptes sur des sites ou des forums, ou encore votre compte d'administration Joomla. Si la gestion de (très) nombreux mots de passe est quasi ingérable pour beaucoup, une application du type Dashlane peut vous aider dans cette tâche laborieuse.

Ce qui caractérise la sécurité d'un mot de passe, c'est à la fois son contenu, son aspect aléatoire et sa longueur : mélangez les majuscules, les minuscules, les chiffres et des caractères spéciaux. Evitez le prénom de votre enfant, votre date de naissance ou les termes trop facilement identifiables. Pour générer un mot de passez sécurisé, vous pouvez recourir à http://my-password.net.

Dernier point sur l'identifiant et le mot de passe : changez-les régulièrement. Je dirais qu'effectuer cette opération tous les trois mois peut-être une bonne fréquence.


Faites vos mises à jour

Joomla est une plate-forme évolutive, c'est à dire qu'elle publie plus ou moins régulièrement des mises à jour. Ces mises à jour sont faites pour améliorer Joomla mais également pour renforcer sa sécurité. Les alertes de mises à jour concernent également les extensions (composants, modules, plug-in et templates). N'attendez pas pour les appliquer lorsqu'elles sont publiées.

Pour réaliser cette mise à jour, vous pouvez suivre le tutoriel Comment mettre à jour Joomla ?.

Avant d'appliquer la moindre mise à jour, vous devez sauvegarder la totalité de votre site et vérifier le bon fonctionnement de cette sauvegarde.


Mise à jour Joomla!


Sauvegarder régulièrement votre site

Si votre hébergeur est sérieux, il est censé faire des sauvegardes quotidiennes de votre site et de sa base de données. Vérifiez ce point avec lui.
Si vous avec accès à votre base de données via phpMyAdmin, procédez régulièrement à un export de celle-ci. Réalisez également des sauvegardes de l'intégralité des fichiers de votre site. Cela vous sera très utile en cas d'attque et vous permettra de remettre en ligne un site "propre". Gravez ces fichiers et l'export de votre base de données sur un CD ou un DVD afin d'avoir une copie externe.

Pour réaliser une sauvegarde de votre site Joomla!, vous pouvez suivre le tutoriel Sauvegarder son site Joomla avec Akeeba Backup.


Sauvegarder son site Joomla avec Akeeba Backup


Vérifiez les permissions

Tous les répertoires et tous les fichiers de votre site Joomla sont soumis à certaines permissions afin de pouvoir réaliser certaines actions : Exécuter, Lire, Editer. En empêchant par exemple l'écriture sur certains fichiers, vous les sécurisez. Appliquez les paramètres de permission suivants :

  • Fichiers : Chmod 644
  • Répertoires : Chmod 755
  • Fichier "configuration.php" : Chmod 444
  • index.php : Chmod 444
  • /administrator/index.php : Chmod 444
  • /templates/nom_de_votre_template/index.php : Chmod 444

Permissions des fichiers et répertoires dans Joomla!


Le protocole FTP

Le FTP (ou File Transfer Protocol ou protocole de transfert de fichiers en français ) est un moyen simple et efficace de transférer des fichiers (envoi ou téléchargement) vers son serveur. Si cela vous est possible, choisissez de vous connectez à votre serveur en mode SSH (ou SFTP), autrement dit en FTP sécurisé. Interrogez votre hébergeur sur les moyens d'obtenir un accès SSH. Configurez ensuite votre client FTP préféré de la bonne manière au moment de vous connecter.


Choisissez les bonnes extensions

Contrairement aux idées reçues, toutes les extensions pour Joomla! ne se valent pas. La plupart d'entre elles sont développées par des équipes professionnelles et correctement suivies. Certaines sont développées par des passionnés qui n'ont peut-être pas les compétences suffisantes et présentent des failles de sécurité.

Vous trouverez sur le site de la documentation officiel de Joomla, une liste des extensions dites "vulnérables". Cette liste vous donne un aperçu des composants, modules et autres plug-ins pouvant poser problème (les mises à jour les plus récentes sont affichées en bas de page). En cas de doute, n'hésitez pas à solliciter d'autres utilisateurs sur les forums avant d'installer une extension, surtout si celle-ci doit apporter des modifications importantes à votre site web. Pour être certain de ne pas vous tromper, accorder votre préférence aux extensions listées sur le Joomla Extensions Directory.


Travaillez sur un test

Afin de pouvoir travailler en toute sécurité, demandez à votre hébergeur de vous fournir un environnement de test, c'est à dire une copie de votre site sur lequel vous allez pouvoir faire vos modifications sans impacter votre site en production.
Dans le cas où cela serait impossible, installez une copie de votre site en "local" (voir notre tutoriel Installer Joomla sur un serveur local).


Sécurisez votre ordinateur

Cela peut sembler anodin mais vous devez également penser à sécuriser les 2 portes d'accès principales à votre site :

  • Votre ordinateur : le système d'exploitation et tous les logiciels doivent être à jour, vous avez installé un firewall pour contrer les intrusions et sorties d'information incontrôlées ainsi qu'un anti-virus performant.
  • Votre navigateur : créez-vous utilisez un profil spécial (voir le tutoriel dédié à Firefox, par exemple) dans lequel vous ne stockerez jamais vos mots de passe.


Ne gardez que ce qui est nécessaire

Supprimez de votre site Joomla, toutes les extensions inutilisées (composants, modules, plug-in et templates).
Videz également régulièrement toutes les corbeilles.
Supprimez les utilisateurs "fantômes" qui s'inscrivent sur votre site avec une adresse email suspecte et qui ne se connectent jamais.

Par ailleurs, limitez le droit d'insérer n'importe quel code dans l'éditeur de contenus au strict nécessaire. C'est le cas par exemple avec les principaux éditeurs de texte tels que TinyMCE, JCE ou encore JCK Editor. Par exemple si vous avez besoin d'insérer du code HTML dans vos contenus, avez-vous réellement besoin de cocher également "Insérer des styles CSS", "Insérer du Javascript", "Insérer du PHP" ?


Masquer Joomla

Volontairement, je n'aborderai pas ici des techniques qui permettent de masquer l'identité d'un site réalisé sous Joomla. Pourquoi ce choix ?
D'abord, parce que cette technique est d'un autre âge. En effet, aujourd'hui, il n'est plus nécessaire d'afficher le code source d'un site web pour obtenir ce type d'information. Un add-on comme "Wappalyzer" fait parfaitement ce job, sans même faire le moindre clic de souris.
Ensuite parce que si vous appliquez les règles élémentaires de sécurisation que nous venons de voir et que vous appliquer les protections efficaces (que nous verrons dans le prochain article), vous éloignerez la plus grande partie des personnes malveillantes, Joomla! ou non.
Et enfin parce que vous pouvez et devez être fier d'avoir un site réalisé avec Joomla!


Site fièrement réalisé avec Joomla!


Conseils en terme de sécurité

  • Ne laissez jamais vos sauvegardes dans un dossier de votre site Joomla, même si vous avez sécurisé celui-ci. Le mieux est encore de rapatrier les archives sur votre ordinateur, tout simplement.

  • Vous pouvez également activer le protocole SSL pour accroître la sécurité de vos visiteurs lors des transactions sur votre site. Pour cela, vous pouvez vous référer aux articles suivants :

  • NE JAMAIS INSTALLER sur votre site d'extensions aux origines "douteuses. Pourquoi ? Et bien parce que les hackers ont très certainement modifié une partie du code de cette extension avant de la partager "aimablement" sur des sites illégaux. Lorsque vous installez ces fichiers sur votre site, vous ouvrez vous-même la porte aux hackers... Voilà, vous êtes prévenu(e) !

  • Enfin, si je devais vous donner un dernier conseil, ce serait de vous tenir informé en parcourant les forums, les groupes, les sites dédiés à la sécurité sur le web et pour Joomla!. En effet, rien ne remplacera une solide culture et une bonne auto-formation pour vous prémunir d'une éventuelle attaque et pour vous en sortir au mieux si, malgré tout, vous en êtiez victime.


Conclusion

Cette liste d'actions n'est bien sur absolument pas exhaustive et doit être appliquée seulement si cela correspond à vos besoins et si vous avez les connaissances techniques suffisantes de le faire par vous-même.
Vérifiez régulièrement que tout est à jour, que chaque point ne nécessite pas une intervention de votre part et restez informé en vous inscrivant sur les forums, sur les groupes Facebook et en suivant "les comptes qui comptent" sur Twitter.

Lorsqu'un soucis de sécurité important survient sur un site, le réflexe est de parler de "hackers" et "site piraté". Seulement, si un pirate a pu rentrer, c'est aussi parce qu'on lui a laissé une "porte" ouverte quelque part. Au mieux, c'est un oubli, au pire, c'est une négligeance. Et dans les deux cas, le mal est fait.


Quizz

Dans le prochain article, nous allons apprendre à protéger notre site Joomla!. Mais avant cela, je vous invite à répondre à une question portant sur l'article que vous venez de lire.


Elle n'est pas une balise métadonnées, c'est :





Please answer the question.


Et ensuite...

 

web-eau.net is not affiliated with or endorsed by the Joomla! Project or Open Source Matters. The Joomla! name and logo is
used under a limited license granted by Open Source Matters the trademark holder in the United States and other countries.