21.12.2011 par ADK Media | Cloud - Webhosting - SSL | 2 commentaires

Sécuriser votre site web sous Joomla

Après notre article sur la sécurité de votre installation WordPress, nous continuons cette série par un article consacré à Joomla, qui comporte des conseils et astuces sur la sécurité de votre site web hébergé chez ADK Media.

Ces conseils vous seront très utiles pour prévenir un grand nombre d’attaques répandues dans le web, qui touchent des sites propulsés par ce CMS Open Source. En plus de nos conseils, la documentation officielle offre une importante checklist de sécurité, à lire par tous les développeurs qui souhaitent utiliser Joomla.

#1 – Mettez votre installation Joomla régulièrement à jour

On ne le répétera jamais assez, la mise à jour régulière du CMS Joomla est indispensable pour la sécurité de votre site, l’équipe Joomla fournit régulièrement des mises à jour qui comprennent des correctifs de sécurité. Pensez également à mettre à jour vos composants, modules et plug-ins.

Pour vous tenir informé des mises à jour de Joomla, vous pouvez vous abonner à ce flux RSS officiel.

#2 – Personnalisez votre login et mot de passe

Pendant l’installation de Joomla, l’identifiant admin est attribué par défaut au propriétaire du site, ce compte est Super Administrateur, qui a donc tous les droits sur le site. Il est recommandé de le modifier par un identifiant de votre choix.

Concernant le mot de passe, les règles élémentaires à suivre sont de le créer en 8 caractères ou plus, y utiliser des chiffres, caractères spéciaux et lettres en majuscule/minuscule. Il existe des outils en ligne qui vous permettent de générer rapidement des mots de passe comme le site Strong password generator.

#3 – Sauvegardez votre site et votre base de données de façon régulière

Sauvegarder régulièrement vos fichiers via FTP est une action recommandée, mais le plus important reste à sauvegarder votre base de données Joomla de façon continue, vous pouvez le faire à partir de PHPMyAdmin en format .sql, la taille de ce fichier dépendra du nombre d’informations contenues sur votre site.

Vous pouvez également effectuer la sauvegarde entière ou partielle de votre site web, en utilisant la fonction de sauvegarde de cPanel offerte à nos clients sur tous nos packs d’hébergement. Pour cela, connectez vous à votre cPanel et dirigez vous sur le menu « Fichiers / Sauvegardes », cliquez ensuite sur le bouton « Daily » dans la partie « System backups », ceci vous permettra de télécharger une copie intégrale de votre espace d’hébergement qui date de la journée précédente, incluant les fichiers, bases de données et filtres de courrier.

Gardez  vos fichiers de sauvegarde bien en sécurité, il vous sera très utile en cas de problème.

#4 – Utilisez des extension utiles pour la sécurité

  • jSecure sécurise l’accès à la console d’administration de joomla par le biais d’une clé à rentrer dans l’url d’accès au bandeau d’administration joomla (payante).
  • Akeeba backup est une extension qui permet de créer des copies de sauvegarde ou la restauration facile de votre site Joomla.
  • JMonitoring est utile pour les webmasters qui ont plusieurs sites sous Joomla, cette extension vous alerte en cas de sortie de nouvelle version de Joomla ou des extensions installées sur vos sites.

#5 – Changez le préfixe de votre base de données Joomla

L’une des recommandations officielles Joomla, est la modification du préfixe par défaut des tables de votre base de données, pendant l’installation du CMS, il vous propose jos_ comme préfixe par défaut, n’hésitez pas à le modifier et utiliser un préfixe de votre choix.

Vous avez déjà installé Joomla avec le préfixe jos_ ? pas de problème, vous pouvez le modifier manuellement en deux étapes (opération réservée aux développeurs confirmés) :

  • Modifier le nom de toutes les tables sur PHPMyAdmin en remplaçant jos_ par votrePrefixe_
  • Modifier manuellement le fichier configuration.php (sur la racine de votre site web) en remplaçant jos_ par votrePrefixe_  dans la variable $dbprefix

#6 – Utilisez le bon CHMOD pour vos dossiers et fichiers

La configuration CHMOD idéale pour votre site Joomla :

  • Fichiers PHP : 644
  • Fichiers de configuration : 400
  • Autres dossiers : 755

Vous pouvez effectuer le CHMOD des fichiers et dossiers en utilisant votre client FTP.

#7 – N’utilisez pas trop les iFrames

Joomla propose des menus ou des modules qui sont installés sur des iFrames afin d’inclure du contenu externe directement sur le site. Cette pratique rend votre site web à la merci de ce contenu non vérifié et dont vous ne maitrisez pas tous les aspects de sécurité.

#8 – Téléchargez Joomla du site officiel

Ne téléchargez jamais Joomla à partir de sites non officiels,  utilisez plutôt les fichiers d’installation téléchargés des sites Joomla.fr et Joomla.org.

#9 – Installer des extensions de confiance

Joomla vous permet d’étendre ses fonctionnalités à travers des extensions développées par des développeurs tiers dont une partie ne se soucie pas beaucoup de la sécurité, prenez l’habitude de télécharger les extensions à partir du site officiel Joomla :

Joomla fournit également une liste des extensions vulnérables sur sa documentation officielle.

#10 – Supprimez les fichiers et dossiers non utilisés

Après chaque installation de Joomla, supprimer le dossier d’installation et ne vous contentez pas de le renommer, supprimez également tous les fichiers non utilisés de votre template.

#11 – Visitez les forums officiels de sécurité sur joomla.fr

Des forums spéciaux qui traitent de la sécurité du CMS Joomla sont disponibles sur le site officiel Joomla.fr, voici leurs liens directs :

TAGS : » » » » » »

2 Réponses

Yann Charlou→ 10/8/2013 à 15:15 ...

Autre astuce suite aux régulières faille de JCE et la dernière de Joomla, ajouter un .htaccess pour empécher l’accès aux scripts dans le dossier /images :
Le fichier :

order allow,deny
deny from all

On est jamais trop prudent et ça a déjà été utile quelques fois.

ADK Media→ 20/8/2013 à 17:23 ...

Merci beaucoup Yann, cette astuce est très utile.


Laisser un Commentaire

Nom

E-Mail (ne sera pas publié)

Site Web

Votre commentaire

Note: La modération des Commentaires est activée et peut retarder quelque peu l'apparition de votre commentaire. Il est donc inutile de reposter votre commentaire.

 

      
Shares