Support Joomla ®, guides et aide Joomla

Contactez nous !

  

Sécuriser son site Joomla



Besoin d'aide ? Contactez-nous : support à partir de 65€ HT/heure

 Sécuriser son site Joomla est un des devoirs d'un administrateur et d'un responsable de site.

Sans tomber dans une paranoïa inutile et s'imaginer qu'on va faire l'objet d'attaques permanentes, il existe quelques recommandations de bons sens qui peuvent permettre de rendre son site un peu plus sûr, et faire en sorte qu'il ne soit pas la cible de vilaines tentations.

Cette liste n'est évidemment pas exhaustive et ne prémunira pas votre site contre tous les hackers déterminés, mais elles leur rendront la tâche moins facile. Sachez toutefois qu'il n'existe pas de techniques parfaites qui permettent de sécuriser un site à 100%. Il s'agit d'un travail sur le long terme.

Il ne s'agit pas de recommandations nécessitant obligatoirement une action de votre part, mais de conseils. Libre à vous de les appliquer.

 Note : si vous ne comprenez pas une recommandation de sécurité, ne l'appliquez pas. Mieux vaut mettre en pratique ce que vous comprenez et maîtrisez. Les résultats obtenus peuvent également dépendre de votre serveur, qui n'est pas configuré à l'identique par tous les hébergeurs.

 

Faites des sauvegardes régulières de votre site

Votre hébergeur est censé faire des sauvegardes de votre site et de sa base de données, au moins une fois par jour. Assurez-vous en. Si vous avec accès à votre base via phpMyAdmin, procédez-vous même régulièrement à un export de votre base de données. Faites également des sauvegardes de l'intégralité vos fichiers : fichiers PHP, fichiers CSS, images, fichiers JS (JavaScript), documents etc. Ils vous seront utiles en cas de problèmes, et vous permettront de remettre en ligne des versions propres de vos pages.

Copie de la base de données

Gravez ces fichiers et votre base de données sur un CD ou un DVD histoire d'en avoir une copie physique.

Certaines extensions permettent de gérer les sauvegardes de votre site sans avoir à maîtriser tous ces aspects parfois complexes. La plus connue est Akeeba Backup.

 Note : suivez notre guide pour exporter ou importer une base de données.

 

Changez les préfixes de votre base de données

L'une des recommandations officielles des créateurs de Joomla est de changer les préfixes de votre base de données, qui sont les mêmes sur chaque site Joomla, et donc connus de tous. Sur votre site Joomla, les préfixes de votre table peuvent se changer dans la Configuration du site.

 Attention : cette manipulation doit être réservée aux utilisateurs avancés.

 

Limitez les permissions sur les fichiers et répertoires

Les répertoires et fichiers de votre site sont soumis à des permissions qui permettent certaines actions : lecture, édition, suppression (voir l'entrée Wikipédia sur le CHMOD). En interdisant par exemple l'écriture de certains fichiers, vous les protégez. Choisissez les bons paramètres de permission, en excluant si possible le 777. Dans l'idéal, les fichiers devraient être sur 644, et les répertoires 755.

Exemple de gestion de droits avec le logiciel WinSCP :
Gestion des droits

 

Changez votre identifiant admin

Identifiant pour l'administration

Au moment de l'installation de Joomla, le site attribue automatiquement l'identifiant admin au propriétaire du site. C'est l'identifiant d'un compte Super Administrateur, qui a donc tous les droits sur le site.

Il est donc conseillé de changer rapidement cet identifiant, et de lui préférer un terme moins immédiatement identifiable. La première chose que va tenter une personne mal intentionnée, si elle s'aperçoit que votre site est un Joomla, est d'ajouter /administrator/ à la suite de l'adresse de votre site, puis d'entrer admin dans le champ identifiant. Si il ne lui reste que le mot de passe à deviner, elle a déjà fait la moitié du travail.

 

Choisissez et gérez bien vos mots de passe

Comme vous le savez, le choix de vos mots de passe est capital. L'utilisation du pluriel n'est pas innocente : ne choisissez pas le même mot de passe pour tous vos comptes, que cela soit vos comptes mail, vos comptes boutiques, vos comptes publics sur des sites ou des forums, ou encore vos comptes administration (FTP, admin Joomla). Et si la gestion de mots de passe multiples n'est un plaisir pour personne, aidez-vous de logiciel type comme Roboform pour vous assister dans cette tâche fastidieuse.

Ne notez pas la liste de vos mots de passe dans un fichier texte placé sur le bureau, n'enregistrez pas tous vos mots de passe dans les navigateurs, bref, ne pensez pas avoir sécurisé l'accès à votre site en choisissant un mot de passe compliqué que vous laissez traîner à portée de tout le monde, y compris de manière physique (post it scotché à l'écran).

Ce qui renforce la sécurité d'un mot de passe est à la fois sa longueur et son côté aléatoire : mélange de majuscules et de minuscules, de chiffres. Evitez les prénoms, les dates de naissance, les mots facilement identifiables. Pour générer un mot de passez efficace, aidez-vous de ce genre de site.

 

Choisissez autant que possible le SSH (ou SFTP) au lieu du FTP

Le FTP (ou protocole de transfert de fichiers) est un moyen efficace de déplacer des fichiers (envoi ou téléchargement) vers son serveur. Dans la mesure du possible, choisissez de vous connectez à votre serveur en SSH (ou SFTP), c'est à dire en FTP sécurisé. Voyez avec votre hébergeur ou votre prestataire les moyens d'obtenir un accès SSH, et configurer votre logiciel client de la bonne manière au moment de vous connecter.

Besoin d'aide ? Contactez-nous : support à partir de 65€ HT/heure

Mettez à jour votre site Joomla

Joomla est une plate-forme évolutive, qui connaît des mises à jour. Celles-ci ne sont pas forcément régulières, mais si une mise à jour pour votre version de Joomla (1.0 ou 1.5 existe), installez-la.

Mise à jour de Joomla

Pour installer une mise à jour de Joomla, repérez d'abord le bon fichier de mise à jour à télécharger : si vous avez une 1.5.15, par exemple, et que la dernière version est la 1.5.22, téléchargez la mise à jour 1.5.XX vers 1.5.22. Faites ensuite une sauvegarde de tous les fichiers de votre site. Décompressez l'archive, puis transférez les fichiers sur votre serveur en conservant l'arborescence de l'archive (les fichiers de administrator vont dans administrator, etc), en écrasant les anciens fichiers avec les nouveaux.

 Attention : il est en revanche déconseillé de faire une mise à jour d'une version 1.0 de Joomla vers une 1.5, ou d'une 1.5 vers la future 1.6 (dont la sortie est prévue en 2010) sans le soutien d'un technicien Web compétent. Le passage de l'une à l'autre de ces versions pourrait causer des problèmes de compatibilité avec les composants, les modules, etc, et générer des erreurs sur votre site. Dans le même ordre d'idée, attendez que la version 1.6 de Joomla, qui n'est pas encore sortie, soit testée de long en large pas la communauté et mise à jour avec des correctifs avant d'éventuellement l'installer (on parle d'au moins six mois voire un an), en ayant conscience qu'il y toujours un risque que certaines extensions ne fonctionnent plus. D'une manière générale, ne "sortez" pas de votre version pour les mises à jour (1.0.xx ou 1.5.xx).

Pour vous tenir informé des mises à jour de Joomla, vous pouvez vous abonner à ce flux RSS officiel. Si ce n'est pas déjà fait, activez le module de flux d'informations sur la sécurité de Joomla.

Dans votre menu Gestion des modules, cliquez sur Administrateur (hé oui, il existe aussi des modules pour votre interface d'administration!) puis vérifiez qu'un module de type mod_feed appelé Flux rss d'informations sur la sécurité de Joomla existe bien. Sinon, créez-le, en ajoutant un module Syndication que vous placerez dans la position cpanel et dans lequel l'URL du fil d'actualités sera l'adresse du flux officiel fournie ci-dessus.

Module syndication de Joomla

Vous verrez alors l'onglet apparaître sur la page d'accueil de votre administration.

Module d'information sur les mises à jour de sécurité de Joomla

 Note : Depuis sa version 1.7 Joomla intègre désormais un système de vérification et de mise à jour automatique intégrée au core, qui permet de mettre à jour son site mais aussi certaines de ses extensions depuis son administration. Il est bien sûr conseillé de faire une sauvegarde de son site avant toute mise à jour.

 

Mettez à jour vos extensions

Comme Joomla, les (bonnes) extensions évoluent : corrections de bugs et de failles de sécurité, améliorations, nouvelles fonctionnalités. Pensez donc à mettre à jour vos composants, vos modules, ou vos plug-ins, et à vous tenir informés de leurs évolutions.

 

N'installez pas n'importe quelle extension

Liste des extensions vulnérables

Dans le même ordre d'idée, toutes les extensions pour Joomla ne se valent pas. Certaines sont développées par des équipes professionnelles et correctement suivies. Certains sont développées par des passionnés qui ne pensent pas à mal mais n'ont pas les compétences nécessaires et présentent des failles de sécurité.

Le site de documentation officiel de Joomla propose une liste des extensions vulnérables. Elle vous donnera un aperçu des composants, modules et autres plug-ins pouvant poser problème, et les solutions qu'y ont éventuellement apporté leurs développeurs (les mises à jour les plus récentes sont en bas de page). Enfin, n'hésitez pas à tenir compte des commentaires ou des remarques des utilisateurs sur les forums avant d'installer une extension, surtout si celle-ci se destine à apporter des modifications majeures à votre site.

 

Utilisez un site de test pour faire vos tests

Si vous avez la possibilité, demandez à votre hébergeur ou votre prestataire de vous fournir un environnement de test, c'est à dire une copie du site sur laquelle vous allez pouvoir faire vos expériences (installation d'extensions complexes, retouches du templates, modifications) sans impacter le site en production (c'est-à-dire le site "live").

Dans le cas où cela serait impossible, installez-vous une copie du site en local (voir notre guide Installer Joomla en local).

 

Ne copiez-collez pas de texte provenant d'un autre site dans vos articles sans nettoyer le code

L'outil de nettoyage de code de l'éditeur JCE pour Joomla :
Nettoyage de code dans JCE

On ne le répètera jamais assez : ne copiez-collez pas un contenu provenant d'un autre site Web (ou d'un document Word) directement dans le contenu d'un article, au risque d'importer des bribes de codes dans votre contenu, et donc de risquer au mieux de légers problèmes de mise en page, au pire des soucis techniques. Passez toujours par l'outil de nettoyage de code de l'éditeur de texte de Joomla (ou par le bloc note de Windows) avant de coller votre texte dans l'article.

 

Limitez autant que possible l'utilisation des iFrames

Joomla propose des menus ou des modules qui permettent d'inclure, au moyen d'iFrames, des contenus externes directement sur le site. Si cela peut-être utile, par exemple pour importer des boutiques ou des profils externes, quand certains sites le proposent, cela veut aussi dire que votre site est entièrement dépendant d'un contenu sur lequel il n'a aucun contrôle. Evitez donc autant que possible d'utiliser les iFrames.

Besoin d'aide ? Contactez-nous : support à partir de 65€ HT/heure

Astuces et Conseils

Si votre hébergement est chez OVH, la procédure classique consistant à ajouter à votre fichier .htaccess la ligne php_value register_globals Off ne fonctionnera pas.

En effet OVH a modifié la configuration de ses serveurs. Pour désactiver le Register globals il faut ajouter cette ligne : SetEnv REGISTER_GLOBALS 0

Lors de l'installation de Joomla il faut modifier certains droits sur les dossiers et fichiers. Si votre hébergement est chez OVH, il faut savoir que leurs serveurs n'acceptent pas les CHMOD 777 sur les dossiers. Il faut mettre un CHMOD 755.

Lorsque vous trier votre liste d'articles pour n'afficher que ceux d'une section voire d'une catégorie donnée, si vous cliquez sur Nouveau, le nouvel article sera directement dans la section et dans la catégorie avec lesquelles vous avez filtré vos articles.


Attention : les noms de tous les fichiers (documents, images) comme ceux des répertoires doivent s’écrire sans accents, sans espaces, et sans caractères spéciaux autres que - (tiret) _ (underscore) ou . (point). Les majuscules sont tolérées, mais sont dispensables.
Exemples de nommage corrects : image-du-chateau.jpg, le_chateau.jpg, chateau.jpg
Exemples de nommage incorrects : image du chateau.jpg, château.jpg


Attention : les seuls formats d’images tolérés sont JPG (ou JPEG), GIF et PNG. Les formats BMP, PSD, TIFF et autres sont fortement déconseillés.


Qui est Support Joomla! ® ? | Plan du site | Mentions Légales | Nous contacter









Le nom Joomla!® est utilisé sous license limitée de Open Source Matters, qui reste le propriétaire mondial de la marque.
Support Joomla n'est ni affilié à Open Source Matters ou au projet Joomla!®, ni approuvé par eux.

http://www.support-joomla.com/ is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters the trademark holder in the United States and other countries.

Support Joomla est basé sur le template JA Purity II par JoomlArt