Sécurité Joomla!

Simon Grange.

Une fois que votre site Joomla! est en ligne, vous n'avez pas fini votre travail ;)

Déjà, il est presque certain que vous allez vouloir ajouter de nouveaux contenus, modifier du contenu existant et peut être aussi ajouter de nouvelles fonctionnalités à votre site.

Mais ce n'est pas le sujet de ce chapitre, une tâche qui va vous demander également un peu d'investissement concerne la sécurité de votre site. Le but de ce chapitre est de vous donner les moyens de remettre rapidement votre site sur pied si vous rencontrez un problème survenu après le piratage de votre site, une mauvaise manipulation (de votre part ou de celle d'un autre administrateur du site), d'un problème rencontré par votre hébergeur... et également d'éviter ces problèmes.

 

Voici les quelques règles que vous devrez constamment respecter :

 

1 - Sauvegarde, sauvegarde, sauvegarde

La règle numéro 1 est sans aucun doute les sauvegardes. Même si vous vous faites hacker, si vous faites des sauvegardes régulières de votre site vous pourrez, dans la grande majorité des cas, restaurer votre site.

Ces sauvegardes ne doivent surtout pas être stockées sur le serveur sur lequel est votre site, vous devez les transférer, et les tester. Une sauvegarde non testée ne doit pas être considérée comme une sauvegarde.

D'une manière générale, vous devez sauvegarder régulièrement votre site. Vous devez le sauvegarder avant et après avoir installé, désinstallé ou mis à jour une extension ou avant et après avoir fait la mise à jour de Joomla! lui-même. Vous devez faire une sauvegarde après avoir créé du contenu. Vous devez faire une sauvegarde avant et après avoir apporté des modifications et surtout, vous devez faire une sauvegarde avant de faire toute intervention dont vous n'êtes pas certain du résultat.

Si vous plantez votre site ou si vous vous le faite pirater, il y a des chances que la meilleure des solutions soit de remonter une sauvegarde. Si cette sauvegarde est ancienne de 2 mois, vous perdrez 2 mois de travail...

Pour sauvegarder un site Joomla!, il faut faire une sauvegarde des fichiers ET de la base de données. Pour voir comment sauvegarder votre site, vous pouvez lire le chapitre Sauvegarder, restaurer, déplacer un site Joomla 3.

 

2 - Mises à jour 

La règle numéro 2 consiste à toujours faire les mises à jour de Joomla! et des extensions installées sur le site. Avec Joomla 3, les mises à jour se font en quelques clics. Pour les extensions tierces, certaines se font également en quelques clics, et pour les autres, vous devez simplement télécharger un patch à installer comme n'importe quelle extension ou à envoyer par FTP. Cela ne prend que quelques minutes.

A chaque mise à jour, les developpeurs rendent publiques les changements qu'apporte le patch, il est donc important de faire rapidement ces mises à jour.

Avant de faire une mise à jour, pensez à faire une sauvegarde ;) 

 

3 - Mots de passe

La règle numéro 3 consiste à choisir des mots de passe solides. Evitez tous les mots simples, votre nom, votre prénom, votre date de naissance...

Pour construire un mot de passe solide, choisissez par exemple une phrase, sélectionnez toutes les premières lettres (ou les 2emes, ou les dernières) et faites-en un mot. Mettez une lettre sur deux de ce mot en majuscule, et ajoutez des numéros. Cette phrase sera simple à retenir, et le mot de passe difficile à casser.

De même, il est fortement déconseillé de choisir "admin" comme identifiant lorsque vous êtes le super utilisateur du site.

Si vous utilisez FileZilla, ne stockez pas vos mots de passe (ils sont stockés non-cryptés) ou lisez cet article.

 

4 -  N'installez que les extensions utiles

Ne faites pas l'erreur d'installer des extensions en grand nombre. Vous ne devez installer sur votre site que les extensions utiles à son fonctionnement. Beaucoup de débutants installent des extensions qu'ils trouvent sympas, ou tout simplement pour les tester. Avant d'installer une extension sur votre site, assurez-vous qu'elle sera utile, qu'elle répond à vos besoins, et installez-la sur un site de tests au préalable afin de l'essayer. Si vous avez sur votre site des extensions inutiles, désinstallez-les.

Chaque extension demande de la maintenance, et chaque extension non à jour est une porte d'entrée pour les hackers.

Vous pouvez également consulter la Vulnerable Extensions List qui référence toutes les extensions Joomla! vulnérables.

 

5 - Sites Warez

Sans parler du fait qu'en téléchargeant des extensions provenant de site warez, vous volez le travail d'un développeur ; en les installant sur votre site, vous installez également du code malicieux intégré par les personnes proposant ces extensions. Par la suite, ces codes servent de portes pour les pirates.

Pour rappel, les Templates sont également des extensions.

La boutique

formation-video-joomla-3Formation vidéo Joomla!
Découvrez Joomla! 3 avec 40 tutoriels vidéos pour débutant. Apprennez à construire votre site web, de sa création à sa mise en ligne sans oublier sa maintenance.
Ces 40 tutoriels vidéo représentent une durée totale de plus de 6 heures.

6 - Choisissez un bon hébergeur

De nombreux utilisateurs souhaitent à tout prix héberger leur site sur un hébergeur gratuit. Alors nous allons le dire une fois pour toute : Il n'est pas possible de faire fonctionner correctement Joomla 3 sur ces "hébergeurs".

Et si par chance vous parvenez à installer joomla! sur un de ces hébergeurs, non-seulement vous rencontrerez des bugs, mais vous rencontrerez certainement aussi des problèmes de sécurité.

Il existe des hébergeurs sérieux aux environs de 3 euros par mois (hébergement + nom de domaine). 

 

7 - Droits sur les dossier et fichiers

Vous avez parfois besoin de modifier les fichiers et dossiers de votre site Joomla!. Avant de toucher à ces droits, soyez certain de ce que vous faites et/ou demandez conseil à votre hébergeur.

Pour une question simple de sécurité, ces droits ne doivent JAMAIS être en 777 (sauf sur recommandation spéciale de votre hébergeur). Généralement, ils doivent être en 755/705 pour les dossiers et 604/644 pour les fichiers.

 

8 - Extensions tierces

Vous trouverez plusieurs extensions vous permettant d'améliorer la sécurité de votre site. Par exemple :

aeSecure

aesecureaeSecure vous permet de sécuriser votre site Joomla! à différents niveaux. L'extension intercepte tous les accès à votre site internet avant même que l'URL n'atteigne vos pages php. De cette manière, Joomla ne verra même pas une URL dangereuse, car elle sera bloquée préalablement aeSecure.

aeSecure vous permet également de "cacher" votre page de connexion à l'administration, de vérifier les droits de vos fichiers et dossiers, de "cacher" votre version de Joomla!, etc.

aeSecure est très simple à mettre en place, et surtout très simple à administrer car toutes les fonctionnalités sont accessibles à partir d'un seul écran. Chaque fonctionnalité peut être activée/désactivée simplement en cliquant sur un bouton.

Vous retrouverez plus de détails sur aeSecure dans cet article sur l'optimisation & la sécurité pour site Joomla!, et vous pouvez télécharger aeSecure à partir du site de l'auteur.

 

AdminTools

admin-toolsAdmintools est un composant Joomla!, vous permettant différentes fonctionnalité, comme "caché" la page de connexion de votre administration, de modifier le préfixe des tables de votre base de données, d'apporter des sécurités supplémentaires en modifiant votre fichier htaccess.

Vous pouvez télécharger AdminTools depuis le site de l'auteur.

 

Autres extensions

Vous pouvez également regarder cette catégorie du Jed qui comporte d'autres extensions intéressantes, ainsi que Crawlprotect, une extension externe à Joomla! qui bloque les attaques envers votre site.

 

Même si vous respectez à la lettre toutes ces règles, vous devez garder en tête que le risque 0 n'existe pas. Il y a toujours une chance, aussi infime qu'elle soit que vous vous fassiez hacker. Dans ce cas, vous aurez fait la majorité du travail si vous avez respecté la Règle n°1.

Publicité

Sur ce site, nous utilisons des cookies.