7 points à surveiller pour sécuriser votre Joomla

Sécurité informatique - SSL - Joomla

Joomla est un CMS (Content Management System) très utilisé dans le monde, et à ce titre, il est souvent la cible des hackers. Il est aussi l’un des CMS les mieux sécurisé. Si vous l’utilisez, voici quelques points à prendre en considération pour augmenter la sécurité de votre site Internet.

1) Tenir à jour votre CMS et ses extensions

Les développeurs des extensions les mettent à jour régulièrement et souvent pour des raisons de sécurité. Mettre ses extensions à jour, c’est se prémunir contre les failles de vulnérabilité exploitées par les hackers pour pénétrer sur votre serveur et/ou prendre le contrôle de votre site.
Lors du choix des extensions, préférez celles qui proviennent d’éditeurs ou de développeurs reconnus. Cela vous assurera un bon suivi des mises à jour et évitera quelques mauvaises surprises…

IMPORTANT : Avant toute mise à jour, n’oubliez pas de faire une sauvegarde de votre Joomla. Ainsi, en cas de problème, vous pourrez procéder à une restauration.

2) Choisissez des identifiants et mots de passe sécurisés

Par défaut, l’accès à votre Joomla se fait avec l’identifiant et le mot de passe "admin". Il convient naturellement de changer ces deux paramètres au plus vite… Sachez que plus de 70% des attaques sur les réseaux d’entreprises sont dues à des identifiant et des mots de passe mal sécurisés.

3) Installez des extensions de sécurité

Joomla propose des extensions qui peuvent vous aider à sécuriser votre site, par exemple en bloquant les attaques par "brute force" qui consistent à essayer de forcer l’accès à votre site en testant à la suite toutes les combinaisons possibles ID/Password. Joomla possède des extensions qui bloquent les adresse IP qui envoient des requêtes non résolues en un laps de temps très court.

D’autres extensions vous permettront de supprimer l’en-tête php des pages qui permettent d’identifier le type de CMS (il ne faut pas oublier que les requêtes des hackers sont générées par des robots. Les en-tête permettent à ces derniers d’identifier le CMS utilisé et donc de lancer l’attaque qui convient. Supprimer cet en-tête ne résout pas le problème, mais il le rend le CMS plus difficile à identifier)
Les extensions de sécurité Joomla 

L’extension de sécurité pour Joomla la plus complète gratuite (et payante pour des fonctionnalités plus poussées) est Akeeba Admin Tool . En version gratuite, elle vous permet déjà d’être averti lorsqu’il faudra mettre à jour votre CMS, de corriger les permissions de fichiers depuis votre admin, de sécuriser votre répertoire administrateur, de changer le préfixe de votre base de données etc… ainsi qu’une fonction "Emergency Offline" pour mettre votre site hors-ligne en mode sécurisé.

4) Contrôlez vos permissions de fichiers

Certains fichiers sur votre serveur sont configurés par défaut en lecture et écriture. C’est le cas notamment du fichier .htaccess qui autorise l’écriture et dont les hackers peuvent se servir pour modifier les accès à votre site. Passez les permissions en lecture seule, soit du code 604 au code 404. N’oubliez pas de refaire la manipulation à chaque fois que vous intervenez sur ce fichier et replacez sa nouvelle version sur le serveur.

Les permissions de fichiers ou CHMOD

Pour les permissions de fichiers, configurer les fichiers ou dossiers en CHMOD 777 ou 707 est seulement nécessaire lorsqu'un script doit écrire dans ce fichier ou répertoire. 
Joomla recommande la configuration suivante sur les installations par défaut :

  • Fichiers PHP : 644
  • Fichiers de configuration : 644 (voire 444 pour configuration.php et .htaccess)
  • Autres dossiers : 755

A SAVOIR : les permissions de fichiers peuvent-être également modifiées via un client ftp tel que FileZilla. Sélectionner le fichier ou le dossier, faire un clic droit et sélectionner en bas de liste "Droits d’accès au fichier". Il ne vous reste plus qu’à cocher ou décocher les cases correspondantes "lire" - "écrire" - "exécuter"

En savoir plus sur les CHMOD 

5) Bloquez les "bots" malveillants

Les bots sont des robots qui parcourent le web. Dans leur version "positive", ils servent à indexer les pages de votre site dans un but de référencement (user-agents pour Google, Bing ou Yahoo). Mais il y a également des bots malveillants qui visitent votre site dans des buts plus ou moins avouables, monopolisent une partie de votre bande passante et n’apportent aucun bénéfice à votre site. Bonne nouvelle, vous pouvez les bloquer…
Comment bloquer les les bots malveillants 

7) Activez les URL Search Engine Friendly

La réécriture d'URL en clair (SEF Search Engine Friendly), rend les URLs compréhensibles aussi bien par les utilisateurs que par les moteurs de recherche car elles expliquent le chemin d'accès de la page vers laquelle elles pointent. En même temps, elles masquent d’autres informations sensibles qui pourraient être utilisées par des hackers à des fins malveillantes. Cliquez sur "Système" → "Configuration globale", et activez à la fois "Réécriture d'URL en clair (SEF)" et "Réécriture au 'vol' des URL."

Pour finir… Passez votre site en mode sécurisé HTTPS & SSL

Sécurité JoomlaEn utilisant le protocole sécurisé https, les données échangées sont cryptées. Il devient donc plus difficile pour les hackers de les intercepter. 

Cette sécurisation vaut surtout pour les sites e-commerce qui récoltent des données sensibles de la part des internautes. 

Cela dit, Google va favoriser le positionnement des sites avec contrat SSL dès le début de l’année 2017, et les navigateurs vont privilégier la connexion vers les sites sécurisés. Il vaut donc mieux passer en mode sécurisé quelle que soit la nature de votre site.

Des hébergeurs comme OVH proposent maintenant un certificat SSL basique dans leurs forfaits. Pour le mettre en œuvre, un simple code à intégrer dans votre fichier .htaccess suffit. Et si vos liens internes sont des liens relatifs (comme c’est le cas avec Joomla), cela n’aura aucun impact négatif sur votre SEO. 

Comment savoir si un site est sécurisé ?

En regardant le début de son URL. Celle-ci va passer de http:// à https://. Un petit cadenas vert s’affichera. vos visiteurs seront ainsi rassurés. A noter : le cadenas vert ne s’affichera pas si votre site fait par ailleurs appel à des ressources qui elles, proviennent d’une URL non sécurisée. Ce point particulier sera donc à vérifier…

Pour aller plus loin :

Thématique : Boîte à outils - Mots clés : techniques, sécurité
Vous êtes ici : accueil » article » 7 points à surveiller pour sécuriser votre Joomla

Un Oeil Moderne, c'est l'association de deux professionnels expérimentés qui mettent leur savoir-faire au service des professionnels et des entreprises. Communication digitale, rédactionnel et SEO, Photos et reportages, accompagnement à la transition numérique…Faites-nous part de votre problématique et de vos projets !

Postez un message

Quelle est la quatrième lettre du mot zispy ?