Support Joomla ®, guides et aide Joomla

Faites des sauvegardes régulières de votre site

Votre hébergeur est censé faire des sauvegardes de votre site et de sa base de données, au moins une fois par jour. Assurez-vous en. Si vous avec accès à votre base via phpMyAdmin, procédez-vous même régulièrement à un export de votre base de données. Faites également des sauvegardes de l'intégralité vos fichiers : fichiers PHP, fichiers CSS, images, fichiers JS (JavaScript), documents etc. Ils vous seront utiles en cas de problèmes, et vous permettront de remettre en ligne des versions propres de vos pages.

Gravez ces fichiers et votre base de données sur un CD ou un DVD histoire d'en avoir une copie physique.

Certaines extensions permettent de gérer les sauvegardes de votre site sans avoir à maîtriser tous ces aspects parfois complexes. La plus connue est Akeeba Backup.

 Note : suivez notre guide pour exporter ou importer une base de données.

Changez les préfixes de votre base de données

L'une des recommandations officielles des créateurs de Joomla est de changer les préfixes de votre base de données, qui sont les mêmes sur chaque site Joomla, et donc connus de tous. Sur votre site Joomla, les préfixes de votre table peuvent se changer dans la Configuration du site.

 Attention : cette manipulation doit être réservée aux utilisateurs avancés.

Limitez les permissions sur les fichiers et répertoires

Les répertoires et fichiers de votre site sont soumis à des permissions qui permettent certaines actions : lecture, édition, suppression (voir l'entrée Wikipédia sur le CHMOD). En interdisant par exemple l'écriture de certains fichiers, vous les protégez. Choisissez les bons paramètres de permission, en excluant si possible le 777. Dans l'idéal, les fichiers devraient être sur 644, et les répertoires 755.

Exemple de gestion de droits avec le logiciel WinSCP :

Changez votre identifiant admin

Au moment de l'installation de Joomla, le site attribue automatiquement l'identifiant admin au propriétaire du site. C'est l'identifiant d'un compte Super Administrateur, qui a donc tous les droits sur le site.

Il est donc conseillé de changer rapidement cet identifiant, et de lui préférer un terme moins immédiatement identifiable. La première chose que va tenter une personne mal intentionnée, si elle s'aperçoit que votre site est un Joomla, est d'ajouter /administrator/ à la suite de l'adresse de votre site, puis d'entrer admin dans le champ identifiant. Si il ne lui reste que le mot de passe à deviner, elle a déjà fait la moitié du travail.

Choisissez et gérez bien vos mots de passe

Comme vous le savez, le choix de vos mots de passe est capital. L'utilisation du pluriel n'est pas innocente : ne choisissez pas le même mot de passe pour tous vos comptes, que cela soit vos comptes mail, vos comptes boutiques, vos comptes publics sur des sites ou des forums, ou encore vos comptes administration (FTP, admin Joomla). Et si la gestion de mots de passe multiples n'est un plaisir pour personne, aidez-vous de logiciel type comme Roboform pour vous assister dans cette tâche fastidieuse.

Ne notez pas la liste de vos mots de passe dans un fichier texte placé sur le bureau, n'enregistrez pas tous vos mots de passe dans les navigateurs, bref, ne pensez pas avoir sécurisé l'accès à votre site en choisissant un mot de passe compliqué que vous laissez traîner à portée de tout le monde, y compris de manière physique (post it scotché à l'écran).

Ce qui renforce la sécurité d'un mot de passe est à la fois sa longueur et son côté aléatoire : mélange de majuscules et de minuscules, de chiffres. Evitez les prénoms, les dates de naissance, les mots facilement identifiables. Pour générer un mot de passez efficace, aidez-vous de ce genre de site.

Choisissez autant que possible le SSH (ou SFTP) au lieu du FTP

Le FTP (ou protocole de transfert de fichiers) est un moyen efficace de déplacer des fichiers (envoi ou téléchargement) vers son serveur. Dans la mesure du possible, choisissez de vous connectez à votre serveur en SSH (ou SFTP), c'est à dire en FTP sécurisé. Voyez avec votre hébergeur ou votre prestataire les moyens d'obtenir un accès SSH, et configurer votre logiciel client de la bonne manière au moment de vous connecter.

Mettez à jour votre site Joomla

Joomla est une plate-forme évolutive, qui connaît des mises à jour. Celles-ci ne sont pas forcément régulières, mais si une mise à jour pour votre version de Joomla (1.0 ou 1.5 existe), installez-la.

Pour installer une mise à jour de Joomla, repérez d'abord le bon fichier de mise à jour à télécharger : si vous avez une 1.5.15, par exemple, et que la dernière version est la 1.5.22, téléchargez la mise à jour 1.5.XX vers 1.5.22. Faites ensuite une sauvegarde de tous les fichiers de votre site. Décompressez l'archive, puis transférez les fichiers sur votre serveur en conservant l'arborescence de l'archive (les fichiers de administrator vont dans administrator, etc), en écrasant les anciens fichiers avec les nouveaux.

 Attention : il est en revanche déconseillé de faire une mise à jour d'une version 1.0 de Joomla vers une 1.5, ou d'une 1.5 vers la future 1.6 (dont la sortie est prévue en 2010) sans le soutien d'un technicien Web compétent. Le passage de l'une à l'autre de ces versions pourrait causer des problèmes de compatibilité avec les composants, les modules, etc, et générer des erreurs sur votre site. Dans le même ordre d'idée, attendez que la version 1.6 de Joomla, qui n'est pas encore sortie, soit testée de long en large pas la communauté et mise à jour avec des correctifs avant d'éventuellement l'installer (on parle d'au moins six mois voire un an), en ayant conscience qu'il y toujours un risque que certaines extensions ne fonctionnent plus. D'une manière générale, ne "sortez" pas de votre version pour les mises à jour (1.0.xx ou 1.5.xx).

Pour vous tenir informé des mises à jour de Joomla, vous pouvez vous abonner à ce flux RSS officiel. Si ce n'est pas déjà fait, activez le module de flux d'informations sur la sécurité de Joomla.

Dans votre menu Gestion des modules, cliquez sur Administrateur (hé oui, il existe aussi des modules pour votre interface d'administration!) puis vérifiez qu'un module de type mod_feed appelé Flux rss d'informations sur la sécurité de Joomla existe bien. Sinon, créez-le, en ajoutant un module Syndication que vous placerez dans la position cpanel et dans lequel l'URL du fil d'actualités sera l'adresse du flux officiel fournie ci-dessus.

Vous verrez alors l'onglet apparaître sur la page d'accueil de votre administration.

 Note : Depuis sa version 1.7 Joomla intègre désormais un système de vérification et de mise à jour automatique intégrée au core, qui permet de mettre à jour son site mais aussi certaines de ses extensions depuis son administration. Il est bien sûr conseillé de faire une sauvegarde de son site avant toute mise à jour.

Mettez à jour vos extensions

Comme Joomla, les (bonnes) extensions évoluent : corrections de bugs et de failles de sécurité, améliorations, nouvelles fonctionnalités. Pensez donc à mettre à jour vos composants, vos modules, ou vos plug-ins, et à vous tenir informés de leurs évolutions.

N'installez pas n'importe quelle extension

Dans le même ordre d'idée, toutes les extensions pour Joomla ne se valent pas. Certaines sont développées par des équipes professionnelles et correctement suivies. Certains sont développées par des passionnés qui ne pensent pas à mal mais n'ont pas les compétences nécessaires et présentent des failles de sécurité.

Le site de documentation officiel de Joomla propose une liste des extensions vulnérables. Elle vous donnera un aperçu des composants, modules et autres plug-ins pouvant poser problème, et les solutions qu'y ont éventuellement apporté leurs développeurs (les mises à jour les plus récentes sont en bas de page). Enfin, n'hésitez pas à tenir compte des commentaires ou des remarques des utilisateurs sur les forums avant d'installer une extension, surtout si celle-ci se destine à apporter des modifications majeures à votre site.

Utilisez un site de test pour faire vos tests

Si vous avez la possibilité, demandez à votre hébergeur ou votre prestataire de vous fournir un environnement de test, c'est à dire une copie du site sur laquelle vous allez pouvoir faire vos expériences (installation d'extensions complexes, retouches du templates, modifications) sans impacter le site en production (c'est-à-dire le site "live").

Dans le cas où cela serait impossible, installez-vous une copie du site en local (voir notre guide Installer Joomla en local).

Ne copiez-collez pas de texte provenant d'un autre site dans vos articles sans nettoyer le code

L'outil de nettoyage de code de l'éditeur JCE pour Joomla :

On ne le répètera jamais assez : ne copiez-collez pas un contenu provenant d'un autre site Web (ou d'un document Word) directement dans le contenu d'un article, au risque d'importer des bribes de codes dans votre contenu, et donc de risquer au mieux de légers problèmes de mise en page, au pire des soucis techniques. Passez toujours par l'outil de nettoyage de code de l'éditeur de texte de Joomla (ou par le bloc note de Windows) avant de coller votre texte dans l'article.

Limitez autant que possible l'utilisation des iFrames

Joomla propose des menus ou des modules qui permettent d'inclure, au moyen d'iFrames, des contenus externes directement sur le site. Si cela peut-être utile, par exemple pour importer des boutiques ou des profils externes, quand certains sites le proposent, cela veut aussi dire que votre site est entièrement dépendant d'un contenu sur lequel il n'a aucun contrôle. Evitez donc autant que possible d'utiliser les iFrames.