Joomla est l'un des CMS les plus sur du marché. Encore faut-t-il suivre quelques règles de bases pour bien sécuriser son site Joomla.

conception-site-joomlaLes sites sous Joomla sont victimes de nombreuses attaques lit-on sur divers forums. En réalité les sites internet crées avec Joomla ne sont pas plus ou moins attaqués que les autres!

Tous les sites internet, quelle que soit la technologie utilisée pour les créer, sont victimes d'attaques incessantes et toujours en forte, très forte croissance.

Donc quel que soit le moteur de CMS que vous utilisez pour votre site internet voici quelques grandes règles à respecter. Puis nous verrons plus en détails comment sécuriser du mieux que nous le pouvons un site sous Joomla.

Liminaire : vouloir sécuriser son site internet, implique que votre propre poste de travail est exempt de virus ou cheval de Troie. Vous devez bien comprendre que si votre machine est infectée par un key logger par exemple, tous vos efforts pour sécuriser votre site Joomla seraient vains.... cherchez dans la bible!!

Securiser son site

Pas de longues phrases pour définir comment sécuriser son site :

  • Maintenir le moteur de CMS utilisé (Joomla, Wordpress, prestashop, typo3 etc...) à jour! et mettre en place un système de veille efficace.
  • Créez un mot de passe administrateur complexe (au minimum 18 caractères qui mèlent majuscules, minuscules, chiffres, caractère spéciaux). Chacun de vos sites doit avoir son propre mot de passe administrateur.
  • Si votre CMS vous propose un login administrateur par defaut, modifiez le;
  • Créez un .htaccess approprié à votre CMS. Si tous les cms créés un htacces lors de leur installation, celui-ci est souvent trop simple, rendez vous sur les forums de votre cms et apprenez à créer votre propre .htaccess en fonction de la cible de votre site internet;
  • Securisez de la même manière, et avec grande rigueur, vos acces FTP. Si vous devez créer un accès FTP à un collaborateur ou à un tiers, faite le pointer sur le répertoire dont il a besoin, et surtout supprimer ce compte FTP dès que possible;
  • Chaque fois que cela est possible demandez à votre webmaster d'installer des captchas solides sur vos formulaires.

Securiser un site Joomla

Rentrons ici dans le détail de la sécurisation d'un site internet créé avec le CMS Joomla.

migration-securite-joomla

D'entrée de jeux parlons de la version de votre CMS Joomla qui à servi à la conception de votre site internet. La fondation joomla :  http://www.joomla.org est  propriétaire et conceptrice de votre cms Joomla (même s'il est vrai que Joomla est une évolution de Mambo qui lui a été créé par une entreprise commerciale aux Etats Unis, mais cela est un autre débat, si cela vous intéresse il y avait un billet qui expliquait pourquoi Joomla sur l'excellent site d'annuaire joomla : http://www.annuaire-sites-joomla.com).

Autour d'un CMS gravitent de nombreux autres éléments

Chez Joomla, ils s'appellent :

  • Template : environnement graphique de votre site internet;
  • Composant : Sous programme générant des opérations qui lui sont propres, et dont le résultat sera affiché en partie centrale (le plus souvent...) de votre site;
  • Module : Sous programme générant des opérations spécifiques et dont le résultat sera affiché dans des espaces réservés par le designer de votre template (vous les visualiser sous joomla, vous pouvez rajouter /?tp=1 à la fin de votre url, attention l'administrateur de votre site aura peut etre bloqué cette fonction);
  • PlugIn : Sous programme qui permet de lancer une tâche lors de la survenance d'un événement.

    joomla cms joomla16

L'ensemble de ces éléments étant créés par des tiers, il convient de les surveiller attentivement

  • Font-ils partis d'une liste mise à jour par la fondation joomla qui vous indique quels sont les éléments complémentaires à Joomla connus pour présenter une faille de sécurité : http://docs.joomla.org/Vulnerable_Extensions_List;
  •  Il n'est pas impossible que certains de ces éléménts aient été installés dans votre cms par vous ou votre webmaster puis ne soient plus utilisés : SUPPRIMEZ les!
  • Parmi ces éléments, pensez bien que Joomla installe par défaut des templates à titre d'exemple. Elles aussi : Supprimez les!
  • Enfin, avec votre FTP rendez vous dans le répertoire tmp de votre site et n'y laisser que le fichier index.html.
  • Bon à savoir, il existe plusieurs outils qui vous permettent d'être informé de la sortie d'une nouvelle version d'un des composants utilisés (ces outils n’empêchent pas une vigilance extrême de vos équipes). Par exemple vous pouvez utiliser cupdater, qui se trouve ici : http://extensions.joomla.fr/afficher-les-categories/acces-securite/1421-acces-securite/4519-cupdater-e-mails-de-mise-a-jour.

Lors de l'installation de votre CMS Joomla

  • Choisissez un hébergeur qui maitrise les risques sur la sécurité. Un hébergeur à taille humaine, pas une trop grosse entreprise dont le service technique ne saura que vous dire "ce n'est pas nous, votre script est infecté, nous coupons votre site, débrouillez vous" (non je ne cite personne.... lol).
  • Renommez le radical de vos tables (par defaut jos_); vous pouvez y mettre ce vous voulez. Ainsi vous aller rendre un peu plus complexe la tâche des robots qui veulent infecter votre code mysql de codes malins);
  • Une fois l'installation terminée, allez en admin, créez un deuxième super admin (son login doit être propre à votre site), avec un vrai mot de passe (voir ci dessus : créez un mot de passe), puis modifiez les droits du super admin créé par Joomla en utilisateur simple.
  • Les CHMOD
    • Accesibles à partir de votre client FTP, cela vous permet de définir qui à des droits (et lesquels!) sur telle ou telle partie de votre site internet. C'est certainement l'une des tâches qui requiert le plus de rigueur,
  • Vérifiez que votre hébergeur n'ait pas installé automatiquement un fichier qui permette d'afficher un phpinfo de votre hébergement, trop riche en infos pour un hacker;
  • Une fois votre site terminé, prenez en une copie intégrale (code source et base de données);
  • Vous pouvez automatiser la sauvegarde recurrente de votre site; nous vous recommandons de faire appel aux automates de votre hébergeur pour ces sauvegardes. Vous pouvez bien entendu utiliser un composant dédié à la génération automatique de sauvegarde comme akeeba (sa version gratuite suffit dans la plupart des cas) : https://www.akeebabackup.com 
  • Un excellent composant est proposé par l'hebergeur siteground.com permettant de rejeter bon nombre de tentatives d'injections de code et de bases de données : http://www.siteground.com/joomla-extensions.htm#developedbysg

 

Les partenaires HOB France

Datadock : outil d'aide au référencement des organismes de formation     OVH community partner, le réseau de partenaires compte des milliers d'experts qui allient proximité, connaissance du terrain et expertise technique.     Payplug : solution de paiement en ligne 100% orientée PME     PayPal est un service de paiement en ligne qui permet de payer des achats, de recevoir des paiements, ou d’envoyer et de recevoir de l’argent.