En tant qu'application Open Source, Joomla! est sujet à toute sorte d'attaques pirates. C'est pourquoi il est important de prendre le plus de mesures possibles pour sécuriser votre site Joomla. En suivant les quelques conseils ci-dessous, vous minimiserez les chances d'être piraté.
Cette liste n'est bien sûr pas exhaustive et des attaques peuvent toujours survenir. Si vous pensez être une cible privilégiée de hackers, faites appel à un professionnel.
Ce sujet couvre les aspects suivants :
- Garder Joomla et ses extensions à jour
- Utiliser des identifiants de connexion complexes
- Une bonne utilisation des droits et permissions de fichiers
- Utiliser les extensions de sécurité de Joomla
- Faire des sauvegardes régulièrement
- Protéger l'accès à l'administration
Etape 1 - Garder Joomla et ses extensions à jour
La partie la plus importante de la sécurisation de votre site Joomla est la maintenance, il vous faut le tenir à jour régulièrement. Dans presque toutes les mises à jours (nouvelles versions), des failles de sécurité sont comblées.
Gardez également vos extensions Joomla à jour, on dit toujours que le niveau de sécurité d'un Joomla est équivalent à l'extension la plus vulnérable (le maillon faible). Notez qu'il y a de plus en plus d'attaques qui utilisent les failles de sécurités des extensions Joomla..
Quand vous êtes hébergé chez SiteGround, il vous suffit d'activer la fonction de mise à jour automatique de Joomla et ainsi vous assurez que votre application Joomla est toujours à jour. Attention cependant à bien vérifier que ces mises à jour se sont bien passées. Pour certaines mises à jour il peut être prudent d'effectuer une sauvegarde préalable avec Akeeba Backup.
Etape 2 - Utiliser des identifiants de connexion complexes
N'utilisez pas des noms d'utilisateur du type "admin" ou "administrator". Ceux-ci sont les premiers identifiants ciblés par les hackers.
Il est important d'avoir un mot de passe fort et complexe pour votre site web. De nombreux attaquants tentent une attaque frontale (brute-force) pour récupérer votre mot de passe. Ils utilisent en fait une liste de mot de passe couramment utilisé afin de trouver le vôtre. Il y existe plusieurs astuces qui vous aideront à vous protéger contre de telles attaques :
- Ne pas utiliser des mots en guise de mot de passe comme : love, dieu, pass, admin, admin123...
- Évitez les renseignements personnels dans les mots de passe comme votre nom, prénom...
- Utiliser des caractères spéciaux (*@{#), des chiffres et des lettres majuscules
- Si vous stockez vos mots de passe dans Firefox, utilisez l'add-on LastPass.
Pour rappel en Utilisateurs/Utilisateurs, dans les paramètres, bouton en haut à droite de l'écran, vous pouvez paramétrer la "force" des mots de passe de vos utilisateurs:
Etape 3 - Une bonne utilisation des droits et permissions de fichiers
Les droits et permissions sur vos fichiers et dossiers Joomla jouent un rôle important.
Il est recommandé d'utiliser ceux-ci pour vos sites :
- Définissez une permission 755 pour vos dossiers Joomla
- Définissez une permission 644 pour vos fichiers Joomla
- Définissez une permission 444 pour votre fichier configuration.php.
Ne jamais utiliser un CHMOD 777 (accès complet).
Etape 4 - Utiliser les extensions de sécurité de Joomla
L'utilisation d'extension est un moyen facile d'améliorer la sécurité de votre Joomla. Vous trouverez ci-dessous une liste des meilleurs extensions Joomla de sécurité :
Quand vous êtes hébergé chez SiteGround, jHackGuard est automatiquement ajouté à votre installation Joomla et vous n'avez pas à vous soucier de la sécurité de votre Joomla.
Etape 5 - Faire des sauvegardes régulièrement
Il est essentiel de sauvegarder votre site Joomla aussi souvent que possible. Vous devez toujours garder une copie de la sauvegarde de vos fichiers Joomla et de sa base de données sur votre ordinateur en local juste au cas où quelque chose se passe mal sur votre serveur.
Pour plus d'informations sur les meilleures pratiques de sauvegarde Joomla, consultez le test suivant : Akeeba Backup pour sauvegarder Joomla.
Notez que si vous êtes hébergé chez SiteGround et que vous perdez vos sauvegardes personnelles, SiteGround vous en réalise quotidiennement (fichiers et bdd) et les garde pendant 30 jours. Sur le CPanel de Siteground vous pouvez simplement aller rechercher la date de restauration qui vous convient et restaurer en 2 clicks.
Etape 6 - Protéger l'accès à l'administration
Vous pouvez améliorer considérablement la sécurité de votre site Joomla si vous limitez l'accès à la page de connexion Admin. Tout d'abord, vous pouvez empêcher l'accès au répertoire /administrator grâce à l'extension AdminExile. Ensuite, vous pouvez restreindre l'accès à ce répertoire via un fichier nommé « .htaccess », à mettre dans le répertoire /administrator, avec les lignes suivante à la fin du fichier :
Deny from ALL
Allow from x.x.x.x
Notez que vous devez remplacer x.x.x.x avec votre adresse IP publique réelle. Pour connaitre votre adresse, vous pouvez vous rendre sur What Is My IP par exemple. Pour ajouter plusieurs IPs, il faut simplement dupliquer à la ligne Allow from x.x.x.x. Faites bien sûr attention à ne pas avoir une IP dynamique, qui change par exemple toutes les 24 heures.