Sécurité site Joomla contre hacking

En tant qu'application Open Source, Joomla! est sujet à toute sorte d'attaques pirates. C'est pourquoi il est important de prendre le plus de mesures possibles pour sécuriser votre site Joomla. En suivant les quelques conseils ci-dessous, vous minimiserez les chances d'être piraté.

Cette liste n'est bien sûr pas exhaustive et des attaques peuvent toujours survenir. Si vous pensez être une cible privilégiée de hackers, faites appel à un professionnel.

NOUVEAU ! Découvrez notre dossier complet : Le guide de sécurité pour Joomla

Ce sujet couvre les aspects suivants :

icone secuEtape 1 - Garder Joomla et ses extensions à jour

La partie la plus importante de la sécurisation de votre site Joomla est la maintenance, il vous faut le tenir à jour régulièrement. Dans presque toutes les mises à jours (nouvelles versions), des failles de sécurité sont comblées.

Gardez également vos extensions Joomla à jour, on dit toujours que le niveau de sécurité d'un Joomla est équivalent à l'extension la plus vulnérable (le maillon faible). Notez qu'il y a de plus en plus d'attaques qui utilisent les failles de sécurités des extensions Joomla..

Quand vous êtes hébergé chez SiteGround, il vous suffit d'activer la fonction de mise à jour automatique de Joomla et ainsi vous assurez que votre application Joomla est toujours à jour. Attention cependant à bien vérifier que ces mises à jour se sont bien passées. Pour certaines mises à jour il peut être prudent d'effectuer une sauvegarde préalable avec Akeeba Backup.

Nosyweb gère intégralement pour ses clients, les mises à jour de Joomla et des extensions.

icone secuEtape 2 - Utiliser des identifiants de connexion complexes

N'utilisez pas des noms d'utilisateur du type "admin" ou "administrator". Ceux-ci sont les premiers identifiants ciblés par les hackers.

paramétrage Identifiant et mot de passe Administrateur Joomla

Il est important d'avoir un mot de passe fort et complexe pour votre site web. De nombreux attaquants tentent une attaque frontale (brute-force) pour récupérer votre mot de passe. Ils utilisent en fait une liste de mot de passe couramment utilisé afin de trouver le vôtre. Il y existe plusieurs astuces qui vous aideront à vous protéger contre de telles attaques :

  • Ne pas utiliser des mots en guise de mot de passe comme : love, dieu, pass, admin, admin123...
  • Évitez les renseignements personnels dans les mots de passe comme votre nom, prénom...
  • Utiliser des caractères spéciaux (*@{#), des chiffres et des lettres majuscules
  • Si vous stockez vos mots de passe dans Firefox, utilisez l'add-on LastPass.

Pour rappel en Utilisateurs/Utilisateurs, dans les paramètres, bouton paramètres mot de passe utilisateurs Joomla en haut à droite de l'écran, vous pouvez paramétrer la "force" des mots de passe de vos utilisateurs:

joomla paramétrage mot de passe utilisateur

icone secuEtape 3 - Une bonne utilisation des droits et permissions de fichiers

Les droits et permissions sur vos fichiers et dossiers Joomla jouent un rôle important.

Il est recommandé d'utiliser ceux-ci pour vos sites :

  • Définissez une permission 755 pour vos dossiers Joomla
  • Définissez une permission 644 pour vos fichiers Joomla
  • Définissez une permission 444 pour votre fichier configuration.php.

Ne jamais utiliser un CHMOD 777 (accès complet).

Permissions CHMOD

icone secuEtape 4 - Utiliser les extensions de sécurité de Joomla

L'utilisation d'extension est un moyen facile d'améliorer la sécurité de votre Joomla. Vous trouverez ci-dessous une liste des meilleurs extensions Joomla de sécurité :

Quand vous êtes hébergé chez SiteGround, jHackGuard est automatiquement ajouté à votre installation Joomla et vous n'avez pas à vous soucier de la sécurité de votre Joomla.

Les clients Nosyweb bénéficient tous de la protection du composant Admin Tools Pro, mis gracieusement à leur disposition et paramétré par nos soins.

icone secuEtape 5 - Faire des sauvegardes régulièrement

Il est essentiel de sauvegarder votre site Joomla aussi souvent que possible. Vous devez toujours garder une copie de la sauvegarde de vos fichiers Joomla et de sa base de données sur votre ordinateur en local juste au cas où quelque chose se passe mal sur votre serveur.

Pour plus d'informations sur les meilleures pratiques de sauvegarde Joomla, consultez le test suivant : Akeeba Backup pour sauvegarder Joomla.

Notez que si vous êtes hébergé chez SiteGround et que vous perdez vos sauvegardes personnelles, SiteGround vous en réalise quotidiennement (fichiers et bdd) et les garde pendant 30 jours. Sur le CPanel de Siteground vous pouvez simplement aller rechercher la date de restauration qui vous convient et restaurer en 2 clicks.

icone secuEtape 6 - Protéger l'accès à l'administration

Vous pouvez améliorer considérablement la sécurité de votre site Joomla si vous limitez l'accès à la page de connexion Admin. Tout d'abord, vous pouvez empêcher l'accès au répertoire /administrator grâce à l'extension AdminExile. Ensuite, vous pouvez restreindre l'accès à ce répertoire via un fichier nommé « .htaccess », à mettre dans le répertoire /administrator, avec les lignes suivante à la fin du fichier :

Deny from ALL
Allow from x.x.x.x

Notez que vous devez remplacer x.x.x.x avec votre adresse IP publique réelle. Pour connaitre votre adresse, vous pouvez vous rendre sur What Is My IP par exemple. Pour ajouter plusieurs IPs, il faut simplement dupliquer à la ligne Allow from x.x.x.x. Faites bien sûr attention à ne pas avoir une IP dynamique, qui change par exemple toutes les 24 heures.

Vous êtes à la recherche d'un expert en sécurité Joomla ? Contactez-nous pour un diagnostic et si votre problème de sécurité est très pointu, nous pouvons vous mettre en relation avec notre partenaire spécialisé. 
 
L'auteur : un expert à votre service
Jean-Charles Gautard
Nom : Jean-Charles Gautard
Consultant, formateur et intégrateur web depuis plus de 10 ans, je mets mon expertise digitale au service des professionnels amorçant leur transformation digitale. A la recherche d'une stratégie digitale avec le CMS Joomla ? Besoin de conseils ? d'une formation ? d'un site Internet ou Intranet ? Contactez-nous

Articles qui devraient vous intéresser

Quel hébergeur et hébergement Joomla 3.9 faut-il choisir ? Quel hébergeur et hébergement Joomla 3.9 faut-il choisir ?
CET ARTICLE EST OBSOLETE   Beaucoup de solutions d'hébergements s'offrent à nous et il n'est pas toujours...
Comment réaliser un formulaire de contact compatible RGPD Comment réaliser un formulaire de contact compatible RGPD
Nous allons aborder les différentes questions à se poser pour rendre le traitement d'un formulaire compatible avec...

Commentaires (2)

This comment was minimized by the moderator on the site

Bonjour

Pour l'étape six ci-dessus, aeSecure fait cela très bien : option 2.1 - http://aesecure.com/fr/documentation/fonctionnalites/21-liste-blanche-ip.html

Ceci en deux clics et sans aller tripatouiller un fichier quelconque

This comment was minimized by the moderator on the site

Absolument !
Merci Cavo789 :-)

Il n'y a pas encore de commentaire pour cet article.

Ajouter vos commentaires

  1. Insérer un commentaire en tant qu'invité.
Pièces jointes (0 / 3)
Share Your Location
Contact
Dernier article sur la même thématique
Les fondamentaux de la sécurité pour protéger votre TPE / PMELes fondamentaux de la sécurité pour protéger votre TPE / PME
Les gérants d’entreprises de petite et moyenne taille s’imaginent trop souvent à l’abri des cyberattaques et plus généralement des sujets afférents à la cybersécurité. Et pourtant, en pratique, c...