Aoû24

7 étapes pour sécuriser et protéger votre site Joomla 3

Categories // tutoriel joomla

7 étapes pour sécuriser et protéger votre site Joomla 3

Joomla est un CMS open source très connu et comme ces confrères il est une cible privilégié des hackers. 

D'après PwC, en 2014, environ 117 339 cyber-attaques ont lieu chaque jour. Un chiffre impressionnant qui augmente chaque année, c'est pourquoi si vous ne voulez pas perdre tout le travail et le temps investi dans votre site internet vous devez impérativement sécuriser votre site Joomla 3.

 

Pourquoi votre site Joomla est attaqué ?

 

N'imaginez pas que ces attaques soient personnelles et que c'est votre site qui est personnellement visé, bien au contraire, la grande majorité des attaques contre les sites internet sont automatisée via des "bots" qui parcourent inlassablement la toile à la recherche de nouvelles proies.

En effet, ces pirates vont utiliser votre site internet pour réaliser leurs petites magouilles brouillant ainsi les traces pour les retrouver. Il est très simple d'ajouter sur votre site internet un petit morceau de code difficile à détecter qui va envoyer des milliers d'emails à travers votre serveur par exemple.

Il est très rare qu'un site soit attaqué de façon intentionnel de façon à détruire votre travail, du moins tant que vous n'êtes pas très connu, un site politique et que vous ne traitez pas de sujets hautement confidentiels. 

 

 

Quoiqu'il en soit, même si vous site n'est pas une cible prioritaire, vous vous rendez compte à quel point il est important de protéger vos données Joomla. 

Pour cela je vous propose 7 étapes simples pour sécuriser votre site et éliminer la majorité des risques les plus courants :

 

1- Vérifier que votre site Joomla et vos extensions soient à jour

 

La solution la plus efficace pour éviter de se faire attaquer bêtement est de s'assurer que vous utilisez bien les dernières versions de Joomla 3 et de vos extensions. Dès qu'une faille de sécurité est repérée, elle est très rapidement corrigée par les équipes de Joomla et par les développeurs d'extensions sérieux. Ils publient dès lors une mise à jour corrective. Cependant, le revers de la médaille c'est que dés que cette faille est publiée, elle est immédiatement utilisée par des milliers de robots pour des actions malveillantes. Il est donc impératif que vous sécurisiez votre site Joomla en mettant régulièrement votre site internet à jour. Je vous conseille de faire une vérification toutes les semaines. 

Pour connaitre votre version de Joomla, regardez en bas à droite de votre panneau d'administration dans la barre grise.

Pour vérifier les mises à jour disponibles vous pouvez aller dans Panneau d'administration > Extensions > Gestion des Extensions > Mises à jour (dans la barre à gauche)

 

2 - Utilisez un login et un mot de passe sécurisé pour votre administration Joomla

 

La majorité des attaques se font très simplement en passant par le panneau d'authentification de Joomla, en entrant le login Admin et le mot de passe "password", "azerty" ou encore "123456". Vous êtes choqués ? Et pourtant, sachez que si votre mot de passe est le nom de votre chien, la date de naissance de votre fille ou encore la date de votre premier jour dans votre nouvelle entreprise, il est très simple de retrouver ces informations grâce aux réseaux sociaux ou les autres sites que vous parcourez avec le même identifiant. 

Pour illustrer mes propos, avec le simple identifiant d'une personne rencontrée sur un site de rencontre célèbre j'ai pu en quelques minutes retrouver son nom, prénom, date de naissance, l'histoire de son avortement racontée sur doctissimo, et en recoupant son identifiant avec son nom, j'ai pu retrouver son adresse sur un forum de discussion où elle posait une question juridique. 

C'est une réalité, à partir du moment où vous êtes internaute, vous laissez des traces. Donc pour votre identifiant et votre mot de passe Joomla utilisez des mots uniques et compliqués. 

Par exemple si votre société est créée en Août 2015 et s'appelle Joomladsgn utilisez par exemple la combinaison :

login : J08dsgn@15!

mot de passe : J0om!a@15dsgn08

Vous pouvez aussi utiliser un générateur de mot de passe.

Pour modifier votre identifiant et votre mot de passe rendez vous dans votre panneau d'administration > Utilisateurs > Gestion des Utilisateurs > et modifiez votre Super Admin.

Découvrez les 25 mots de passes les plus utilisez en 2014. 

 

3 - Bloquer les attaques Joomla les plus courantes avec un plugin spécialisé

 

Vous vous souvenez de l'hébergeur spécialisé Joomla Siteground ? Encore une fois leur expertise de Joomla nous facilite la vie puisqu'ils proposent gratuitement une extension de sécurité qu'ils utilisent sur tous leurs serveurs Joomla : jHackGuard.

 

4 - Sauvegarder votre site internet Joomla

 

Même en protégeant au mieux votre site internet vous ne serez jamais à l'abris de quelqu'un de plus malin que vous, ou encore d'une attaque provenant d'un proche ou d'un salarié connaissant vos identifiants. Il est donc important que vous puissiez rapidement remettre en ligne une version saine de votre site internet. Pour cela il n'existe qu'une seule solution : faire des sauvegardes.

Il faut réaliser et garder plusieurs sauvegardes de votre site internet Joomla, car en effet il se peut que vous fassiez une sauvegarde qui est dores et déjà infectée par un script malveillant, et si vous n'avez pas une autre sauvegarde vous êtes foutu !

Le meilleur plugin pour faciliter la vie pour sauvegarder votre site internet est Akeeba Backup, en version gratuite vous devrez vous même lancer les sauvegardes mais en version Pro vous pouvez automatiser ces tâches.

Sauvegardez votre base de données toutes les semaines et les fichiers de votre site toutes les deux semaines par exemple. C'est à décider en fonction du nombre d'article que vous écrivez. 

 

4 - Créer un compte Joomla pour tous les utilisateurs

 

Pour maîtriser la sécurité de votre site internet il est impératif de ne pas partager votre compte Super Admin avec toute votre équipe. 

Créez un utilisateur pour chaque personne susceptible d'intervenir sur le site et attribuez lui les droits relatifs à son travaille. Un rédacteur n'a pas besoin de pouvoir modifier les modules du site par exemple ou encore de créer des utilisateurs.

 

Pour gérez les droits des utilisateurs rendez-vous dans votre panneau d'administration > Utilisateurs > Groupe d'utilisateur et créez les groupes d'utilisateurs dont vous aurez besoin (ex: Rédacteur).

Ajoutez ensuite le groupe aux bons utilisateurs dans votre panneau d'administration > Utilisateurs > Gestion des utilisateurs 

 

5 - Eviter au maximum d'installer des extensions Joomla gratuites

 

Les extensions gratuites Joomla avec peu d'utilisateurs sont bien souvent des nids à failles de sécurité. En effet, des utilisateurs avancés de Joomla ont à une période donnée souhaité aider la communauté en rendant public le code de leur extension mais malheureusement ils ne s'assurent pas que leur extension reste viable vis à vis des évolutions de Joomla. N'étant plus à jour, il se peut que ces extensions ouvrent des passages qui seront très rapidement exploités par les hackers et leurs robots.

C'est pourquoi je vous conseille d'éviter au maximum de multiplier les extensions gratuites. Un bon indicateur est le nombre d'avis sur une extension, si vous avez moins de 100 avis, ne prenez pas de risque.

 

6 - Activer la double authentification Joomla

 

Il existe une méthode radicale pour sécuriser l'accès à votre panneau d'administration Joomla, c'est la double authentification. 

En plus de votre identifiant et de votre mot de passe, Joomla vous demandera une clef de sécurité générée automatiquement toutes les 30sec que vous pourrez retrouver via une application sur votre téléphone portable.

Je vous conseille l'authentification en 2 étapes via Google Authenticator

 

Pour cela allez dans votre panneau d'administration > Extensions > Gestion des Plugin et recherchez : Authentification. Assurez-vous que le plugin Authentification en deux étapes - Google Authenticator est bien activé.

 

 

Allez ensuite dans votre panneau d'administration > Utilisateurs > Gestion des Utilisateurs et modifiez l'utilisateur sur lequel vous souhaitez activer cette double validation (généralement les Super Admin et Administrateurs).

Dans l'onglet Authentification en deux étapes, choisissez Google Authenticator et suivez les 3 étapes d'activation présentées. 

 

 

Avez ces 7 étapes vous avez considérablement amélioré la sécurité de votre site internet Joomla, toutefois restez vigilant et suivez l'activité de Joomla et du blog Joomladsgn pour d'éventuelles évolutions de ce guide.

 

 

 

Poster un commentaire

Vous êtes identifié(e) en tant qu'invité. Option de connection ci-dessous

Certifications