Sécurité

Une fois que votre site Joomla! est en ligne, vous n'avez pas fini votre travail ;)

Déjà, il est presque certain que vous allez vouloir ajouter de nouveaux contenus, modifier du contenu existant et peut être aussi ajouter de nouvelles fonctionnalités à votre site.

Mais ce n'est pas le sujet de ce chapitre, une tâche qui va vous demander également un peu d'investissement concerne la sécurité de votre site. Le but de ce chapitre est de vous donner les moyens de remettre rapidement votre site sur pied si vous rencontrez un problème survenu après le piratage de votre site, une mauvaise manipulation (de votre part ou de celle d'un autre administrateur du site), d'un problème rencontré par votre hébergeur...

Voici les quelques règles que vous devrez constamment respecter :

1 - Sauvegarde, sauvegarde, sauvegarde

La règle numéro 1 est sans aucun doute les sauvegardes. Même si vous vous faites hacker, si vous faites des sauvegardes régulières de votre site vous pourrez, dans la grande majorité des cas, restaurer votre site.

Ces sauvegardes ne doivent surtout pas être stockées sur le serveur sur lequel est votre site, vous devez les transférer, et les tester. Une sauvegarde non testée ne doit pas être considérée comme une sauvegarde.

D'une manière générale, vous devez sauvegarder régulièrement votre site. Vous devez le sauvegarder avant et après avoir installé, désinstallé ou mis à jour une extension ou avant et après avoir fait la mise à jour de Joomla! lui-même. Vous devez faire une sauvegarde après avoir créé du contenu. Vous devez faire une sauvegarde avant et après avoir apporté des modifications et surtout, vous devez faire une sauvegarde avant de faire toute intervention dont vous n'êtes pas certain du résultat.

Si vous plantez votre site ou si vous vous le faite pirater, il y a des chances que la meilleure des solutions soit de remonter une sauvegarde. Si cette sauvegarde est ancienne de 2 mois, vous perdrez 2 mois de travail.

Pour sauvegarder un site Joomla!, il faut faire une sauvegarde des fichiers ET de la base de données. Pour voir comment sauvegarder votre site, vous pouvez lire le chapitre Sauvegarder, restaurer, déplacer un site Joomla 3.

2 - Mises à jour

La règle numéro 2 consiste à toujours faire les sauvegardes de Joomla! et des extensions installées sur le site. Avec Joomla 3, les mises à jour se font en quelques clics. Pour les extensions tierces, certaines se font également en quelques clics, et pour les autres, vous devez simplement télécharger un patch à installer comme n'importe quelle extension ou à envoyer par FTP. Cela ne prend que quelques minutes.

A chaque mise à jour, les developpeurs rendent publiques les changements qu'apporte le patch, il est donc important de faire rapidement ces mises à jour.

Avant de faire une mise à jour, pensez à faire une sauvegarde ;)

3 - Mots de passe

La règle numéro 3 consiste à choisir des mots de passe solides. Evitez tous les mots simples, votre nom, votre prénom, votre date de naissance...

Pour construire un mot de passe solide, choisissez par exemple une phrase, sélectionnez toutes les premières lettres (ou les 2emes, ou les dernières) et faites-en un mot. Mettez une lettre sur deux de ce mot en majuscule, et ajoutez des numéros. Cette phrase sera simple à retenir, et le mot de passe difficile à casser.

De même, il est fortement déconseillé de choisir "admin" comme identifiant lorsque vous êtes le super utilisateur du site.

Si vous utilisez FileZilla, ne stockez pas vos mots de passe (ils sont stockés non-cryptés) ou lisez cet article.

4 - N'installez que les extensions utiles

Ne faites pas l'erreur d'installer des extensions en grand nombre. Vous ne devez installer sur votre site que les extensions utiles à son fonctionnement. Beaucoup de débutants installent des extensions qu'ils trouvent sympas, ou tout simplement pour les tester. Avant d'installer une extension sur votre site, assurez-vous qu'elle sera utile, qu'elle répond à vos besoins, et installez-la sur un site de tests au préalable afin de l'essayer. Si vous avez sur votre site des extensions inutiles, désinstallez-les.

Chaque extension demande de la maintenance, et chaque extension non à jour est une porte d'entrée pour les hackers.

Vous pouvez également consulter la Vulnerable Extensions List qui référence toutes les extensions Joomla! vulnérables.

5 - Extensions Warez

Sans parler du fait qu'en téléchargeant des extensions warez, vous volez le travail d'un développeur ; en les installant sur votre site, vous installez également du code malicieux intégré par les personnes proposant ces extensions. Par la suite, ces codes servent de portes pour les pirates.

Pour rappel, les Templates sont également des extensions.

6 - Choisissez un bon hébergeur

De nombreux utilisateurs souhaitent à tout prix héberger leur site sur un hébergeur gratuit. Alors nous allons le dire une fois pour toute : Il n'est pas possible de faire fonctionner correctement Joomla 3 sur ces "hébergeurs".

Et si par chance vous parvenez à installer joomla! sur un de ces hébergeurs, non-seulement vous rencontrerez des bugs, mais vous rencontrerez certainement aussi des problèmes de sécurité.

Il existe des hébergeurs sérieux aux environs de 3 euros par mois (hébergement + nom de domaine).

7 - Droits sur les dossier et fichiers

Vous avez parfois besoin de modifier les fichiers et dossiers de votre site Joomla!. Avant de toucher à ces droits, soyez certain de ce que vous faites et/ou demandez conseil à votre hébergeur.

Pour une question simple de sécurité, ces droits ne doivent JAMAIS être en 777. Généralement, ils doivent être en 755/705 pour les dossiers et 604/644 pour les fichiers.

8 - Extensions tierces

Vous trouverez plusieurs extensions vous permettant d'améliorer la sécurité de votre site. Par exemple :

La page d'administration de votre site est accessible à l'adresse www.votre-domaine.com/administrator. Cela signifie que n'importe qui peut accéder à cette page. Pour cette raison, vous pouvez donc utiliser une de ces extensions pour déplacer ou renommer cette page.
Cette catégorie du Jed comporte d'autres extensions intéressantes.
Crawlprotect, une extension externe à Joomla! qui bloque les attaques envers votre site.

Même si vous respectez à la lettre toutes ces règles, vous devez garder en tête que le risque 0 n'existe pas. Il y a toujours une chance, aussi infime qu'elle soit que vous vous fassiez hacker. Dans ce cas, vous aurez fait la majorité du travail si vous avez respecté la Règle n°1.

Ajouter vos commentaires

Participant à cette conversation

Commentaires (1)

Invité (thierry)
Permalien

Bonjour
Au point 3 vous dites :
"il est fortement conseillé de choisir "admin" comme identifiant "
Je pense pas que ce soit une bonne idée en fait.

il y a environ 2 mois

0 J'aime Répondre

Propulsé par Komento

Kiwik -Le Blog

Comment rapporter un bug Joomla! sur Joomlacode.org

1 – Enregistrez-vous et connectez-vous sur Joomlacode.org La première étape est de vous enregistrer et de vous connecter sur Joomlacode.org.Pour cela, cliquez sur le lien ci-dessus pour accéder à la page d'enregistrement. 2 – Rendez-vous sur le bon Joomla Bug Tracker Le Bug Tracker principal est le Joomla! CMS Issue Tracker. Cliquez sur ce lien pour vous rendre sur le Bug Tracker et soumettre votre rapport de bug.Pour les besoins de ce tutoriel, je vais utiliser le Joomla! CMS Issue Tracker pour rapporter un bug concernant Joomla 3. 3 – Recherchez afin de voir si quelqu'un a déjà reporté ce problème Pour que votre bug Joomla! soit corrigé rapidement, effectuez une recherche afin de voir si ce bug a déjà été rapporté. Si ce bug a déjà été rapporté, vous pouvez simplement ajouter un rapport. Cela aide à accélérer le processus, aussi bien pour vous que pour le Joomla! Bug Squad. De plus, si quelqu'un a déjà rapporté ce bug, vous trouverez peut-être ...

Lire la suite

mardi, 07 mai 2013
Comment afficher le formulaire d'inscription dans une popup

Pré-Requis : Joomla 3.1 (savoir créer : un menu et des liens de menu - un article associé à une catégorie) Community Builder 1.9 (optionnel car on peut utiliser le module de connexion par défaut de joomla) Le plugin captcha (ou Recaptacha) de Community Buiulder (ou celui de joomla suivant ce que l'on veut utiliser) Le plugin JCE (dernière version de préférence) avec JCE comme éditeur de texte L'article Créer un article basique avec un texte dans lequel on va sélectionner un mot (ou une phrase) qui servira de lien pour afficher le formulaire. L'affecter à une catégorie pour rester dans les standards. Le menu Créer un menu simple (qui ne doit pas apparaître sur le front-end) mais qui doit être actif. On peut utiliser par exemple un menu que l'on appellera menu caché. Pour le rendre invisible, il suffit de ne pas lui affecter de module : Dans ce menu, on crée un lien de menu (par exemple : Enregistrement) auquel on spécifie en "Type de lien de menu" ==> Com ...

Lire la suite

lundi, 06 mai 2013
CDNs pour Joomla! Un guide pour débutant

Qu'est-ce qu'un CDN ? Un Content Delivery Network ou CDN est un système de serveurs localisés de partout dans le monde qui servent des images, du CSS, du Javascript ainsi que d'autres fichiers à vos visiteurs. L'avantage d'un CDN est que le visiteur télécharge les fichiers à partir de l’emplacement CDN le plus proche physiquement. En réduisant la distance physique entre un visiteur et les fichiers web, les pages web se chargent plus rapidement et les visiteurs sont plus contents ! Il y a de nombreux types de CDNs. Certains sont spécialisés dans les images et les sites statiques, et d'autres spécialisés dans l'audio et les vidéos. Un CDN Push nécessite que vous initiez le transfert de fichier. Un CDN Pull transfert automatiquement les fichiers du serveur web vers le CDN. La plupart des solutions sont payantes, il y en a quelques unes gratuites, le tout rendra le chargement de vos pages plus rapide. Avantages Les pages se chargent rapidement pour un meilleur co ...

Lire la suite

jeudi, 02 mai 2013
Comment tester un site E-commerce avec Paypal Sandbox

Pour accéder au site Paypal Sandbox, vous aurez besoin d'un compte actif et vérifié chez Paypal. Compte acheteur et compte marchand Comment ça marche ?En résumé, nous allons créer 2 comptes : Un compte acheteur, qui va vous permettre de simuler un client achetant un produit sur votre site. Un compte marchand qui recevra l'argent (non-réel) venant du compte acheteur lorsque celui-ci effectuera un achat. Créer un compte acheteur Pour commencer, nous allons créer le compte acheteur, celui qui va vous permettre d'acheter les produits sur votre site. Rendez-vous sur le site developer.paypal.com, connectez-vous avec vos identifiants Paypal (1) puis accédez à Paypal Sandbox (2). La fenêtre suivante s'ouvre : Cliquez le bouton afin de créer un nouveau compte (1). La page suivante s'affiche : 1 – Choisissez un pays.2 – Réglez ce paramètre sur Personal (compte acheteur).3 – Entrez votre adresse mail.4 – Choisissez un mot de passe.5 – Entrez vos nom et ...

Lire la suite

mardi, 30 avril 2013
Sortie de Joomla 2.5.11 et Joomla 3.1.1

Sortie de Joomla 2.5.11 Le projet Joomla! est heureux d'annoncer la disponibilité immédiate de Joomla 2.5.11. Cette mise à jour n'est pas une mise à jour de sécurité, elle corrige certains problèmes présents dans la version 2.5.10 (sortie en plus tôt cette semaine) et doit être appliquée sur tous les sites tournant sous Joomla 2.5. Avant d'apporter cette mise à jour à vos sites, pensez à faire une sauvegarde complète.La procédure pour effecter cette mise à jour est très simple, et est détaillée dans cet article. Si vous utilisez encore Joomla 1.6 ou Joomla 1.7, vous devez également rapidement passer sous Joomla 2.5.10. La procédure est détaillée dans cet article. Sortie de Joomla 3.1.1 Le projet Joomla! est heureux d'annoncer la disponibilité immédiate de Joomla 3.1.1. Cette mise à jour n'est pas une mise à jour de sécurité, elle corrige certains problèmes présents dans la version 3.1.0 (sortie en plus tôt cette semaine) et doit être appliquée sur tous les sites tournant ...

Lire la suite

samedi, 27 avril 2013

Plus d'articles

1 2 3 4 5

Une question ?

Un problème ?

Kiwik Le Forum

Kiwik Newsletter

Retrouvez
Kiwik sur Twitter

Follow Me