sécurité

Vous trouverez ici des conseils très utiles pour vous prémunir d’un grand nombre d’attaques. Il existe quelques recommandations importantes qui vous permettront de rendre votre site un peu plus sûr, et faire en sorte qu’il ne soit pas la cible de vilaines tentations.

Mettez à jour vos extensions

Comme Joomla, les extensions évoluent : corrections de bugs et de failles de sécurité, améliorations, nouvelles fonctionnalités. Pensez donc à mettre à jour vos composants, vos modules, ou vos plugins, et à vous tenir informés de leurs évolutions.

Liste de modules Joomla vulnérables à des piratages

Le site de documentation officiel de Joomla propose une liste des extensions vulnérables. Ce document recense l’ensemble des modules joomla qui sont vulnérables à des piratages et vous donnera un aperçu des composants, modules et autres plug-ins pouvant poser problème, ainsi que les solutions qu’ont éventuellement apporté leurs développeurs (les mises à jour les plus récentes sont en bas de page). Enfin, n’hésitez pas à tenir compte des commentaires ou des remarques des utilisateurs sur les forums avant d’installer une extension, surtout si celle-ci se destine à apporter des modifications majeures à votre site.

Contrôlez régulièrement les mises à jour de votre installation Joomla

Très important : la mise à jour régulière du CMS Joomla est indispensable pour la sécurité de votre site. Des mises à jour sont fournies sur le site de Joomla comprenant des correctifs de sécurité. Pensez également à mettre à jour vos composants, modules et plugins.
Nous vous conseillons de vous abonner au flux RSS officiel afin de vous tenir informé des mises à jour Joomla.
ATTENTION : Le passage de l’une à l’autre de ces versions pourrait causer des problèmes de compatibilité avec les composants, les modules, etc, et générer des erreurs sur votre site.
Pour installer une mise à jour de Joomla, repérez d’abord le bon fichier de mise à jour à télécharger : si vous avez une 1.5.15, par exemple, et que la dernière version est la 1.5.22, téléchargez la mise à jour 1.5.XX vers 1.5.22. Faites ensuite une sauvegarde de tous les fichiers de votre site. Décompressez l’archive, puis transférez les fichiers sur votre serveur en conservant l’arborescence de l’archive (les fichiers de administrator vont dans administrator, etc), en écrasant les anciens fichiers avec les nouveaux.
Il est en revanche par exemple, déconseillé de faire une mise à jour d’une version 1.0 de Joomla vers une 1.5, ou d’une 1.5 vers  1.6

Choisissez intelligemment votre login et mot de passe

Pendant l’installation de Joomla, l’identifiant admin est attribué par défaut au propriétaire du site
Il est donc recommandé de le modifier rapidement par un identifiant de votre choix et de lui préférer un terme moins immédiatement identifiable. La première chose que va tenter une personne mal intentionnée, si elle s’aperçoit que votre site est un Joomla, est d’ajouter /administrator/ à la suite de l’adresse de votre site, puis d’entrer admin dans le champ identifiant. S’il ne lui reste que le mot de passe à deviner, elle a déjà fait la moitié du travail.
Il est important aussi de rappeler les règles élémentaires à suivre pour la création d’un mot de passe. 8 caractères ou plus sont fortement conseillés en mélangeant chiffres, caractères spéciaux et lettres en majuscule/minuscule.
Ne choisissez pas non plus le même mot de passe pour tous vos comptes, que cela soit vos comptes mail, vos comptes boutiques, vos comptes publics sur des sites ou des forums, ou encore vos comptes administration (FTP, admin Joomla).
Enfin, ne notez pas la liste de vos mots de passe dans un fichier texte placé sur le bureau, n’enregistrez pas tous vos mots de passe non plus dans les navigateurs.

Effectuez des sauvegardes de votre site et votre base de données

L’intégralité de vos fichiers (fichiers PHP, fichiers CSS, images, fichiers JavaScript, documents, etc) doivent être sauvegardés à intervalle régulier, via FTP est une action recommandée, mais le plus important reste à sauvegarder votre base de données Joomla de façon continue, vous pouvez le faire à partir de PHPMyAdmin en format .sql, la taille de ce fichier dépendra du nombre d’informations contenues sur votre site.
Il est donc important de sauvegarder l’intégralité vos fichiers : fichiers PHP, fichiers CSS, images, fichiers JS (JavaScript), documents etc.
Vous pouvez également effectuer la sauvegarde entière ou partielle de votre site web, en utilisant nos offres de backup sur https://www.phpnet.org/backup.

Changez le préfixe de votre base de données Joomla

L’une des recommandations officielles Joomla, est la modification du préfixe par défaut des tables de votre base de données, pendant l’installation du CMS, il vous propose jos_ comme préfixe par défaut, n’hésitez pas à le modifier et utiliser un préfixe de votre choix.
Vous avez déjà installé Joomla avec le préfixe jos_ ? Ce n’est pas grave, vous pouvez le modifier manuellement en deux étapes (opération réservée aux développeurs confirmés) :
– Modifier le nom de toutes les tables sur PHPMyAdmin en remplaçant jos_ par votrePrefixe_
– Modifier manuellement le fichier configuration.php (sur la racine de votre site web) en remplaçant jos_ par votrePrefixe_  dans la variable $dbprefix

Utilisez le bon CHMOD pour vos dossiers et fichiers

La configuration CHMOD idéale pour votre site Joomla :
– Fichiers PHP : 644
– Fichiers de configuration : 400
– Autres dossiers : 755
Vous pouvez effectuer le CHMOD des fichiers et dossiers en utilisant votre client FTP.

N’utilisez pas trop les iFrames

Joomla propose des menus ou des modules qui sont installés sur des iFrames afin d’inclure du contenu externe directement sur le site. Cette pratique rend votre site web vulnérable car ce contenu est non vérifié et il est impossible de maîtriser tous les aspects de sécurité. Même  Si cela peut-être utile, par exemple pour importer des boutiques ou des profils externes, quand certains sites le proposent, cela veut aussi dire que votre site est entièrement dépendant d’un contenu sur lequel il n’a aucun contrôle. Evitez donc autant que possible d’utiliser les iFrames.

Installer des extensions de confiance

Utilisez des extensions utiles pour la sécurité comme jSecure qui sécurise l’accès à la console d’administration de joomla par le biais d’une clé à rentrer dans l’url d’accès au bandeau d’administration joomla (payante). JMonitoring  a aussi son utilité pour les webmasters qui ont plusieurs sites sous Joomla. Cette extension vous alerte en cas de sortie de nouvelle version de Joomla ou des extensions installées sur vos sites.

Joomla vous permet d’étendre ses fonctionnalités à travers des extensions développées par des développeurs tiers dont une partie ne se soucie pas beaucoup de la sécurité, prenez l’habitude de télécharger les extensions à partir du site officiel joomla :
Toutes les extensions sur Joomla.org
Les extensions en français sur Joomla.fr
Joomla fournit également une liste des extensions vulnérables sur sa documentation officielle.
Cette liste vous donnera un aperçu des composants, modules et autres plug-ins pouvant poser problème, et les solutions apportées.

Supprimez les fichiers et dossiers non utilisés

Après chaque installation de Joomla, supprimer le dossier d’installation et ne vous contentez pas de le renommer, supprimez également tous les fichiers non utilisés de votre template.

Ne copiez-collez pas de texte provenant d’un autre site dans vos articles sans nettoyer le code

Ne copiez-collez pas un contenu provenant d’un autre site Web (ou d’un document Word) directement dans le contenu d’un article, au risque d’importer des bribes de codes dans votre contenu, et donc de risquer au mieux de légers problèmes de mise en page, au pire des soucis techniques. Passez toujours par l’outil de nettoyage de code de l’éditeur de texte de Joomla ou par le bloc note de Windows, avant de coller votre texte dans l’article.

Sites et forums officiels

Surtout ne téléchargez jamais Joomla à partir de sites non officiels,  utilisez plutôt les fichiers d’installation téléchargés des sites Joomla.fr et Joomla.org.

Visitez également les forums officiels de sécurité sur joomla.fr
Des forums spéciaux qui traitent de la sécurité du CMS Joomla sont disponibles sur le site officiel Joomla.fr, voici leurs liens directs :
Sécurité Joomla 1.5.x
Sécurité Joomla 1.7.x /2.5.x
La documentation officielle vous offre une importante checklist de sécurité à consulter par tous les utilisateurs de joomla.
Note : si vous ne comprenez pas une recommandation de sécurité, ne l’appliquez pas. Mieux vaut mettre en pratique ce que vous comprenez et maîtrisez.