Comme vous le savez pour accéder au back office de votre site Joomla, il suffit de taper l'URL "www.monsite.fr/administrator", administrator étant le nom du dossier principal de Joomla. Bien que Joomla soit très bien sécurisé, vous voudriez peut-être modifier le nom du dossier administrator pour qu'il soit moins accessible. Voilà comment faire.

Ce composanttrès pratique permet tout simplement de faire une sauvegarde complètede votre site et de votre base de données. Une fois la sauvegarde effectuée, vous obtenez une archive .ZIP ou au format .JPAau choix contenant l'ensemble des dossiers et fichiers (images, textes,...) de votre site internet ainsi qu'un ou plusieurs fichier SQL contenant l'ensemble des données des tables de votre base de données.

Admin Tools a été conçu par le développeur de Akeeba Backup et de Akeeba Subscriptions, Nicholas Dyonisopoulos. Autant vous dire un gage de qualité certain !

Disponible en version Core et en version Professionnelle (sous réserve d'un abonnement), ce composant Joomla est probablement ce qui se fait de mieux en terme d'extension pour gérer et améliorer la sécurité de votre Internet Joomla. Compatible avec les dernières versions de Joomla, l'auteur assure des mises à jour régulières.

Voici le petit dernier de la sécurité Joomla qui, en raison sa nature pédagogique, commence petit à petit à faire de l'ombre à la référence du marché Admin Tools. En effet, AeSecure fait partie de ces petites applications (car ce n'est pas réellement une extension) qui en plus de bien faire leur boulot, vous apprend le pourquoi du comment des actions que vous entreprenez.

Ainsi, lorsque par exemple vous décidez de changer les permissions de vos dossiers par mesure de sécurité, AeSecure vous explique pourquoi c'est une bonne chose.

Cette démarche pédagogique est fortement appréciable et permet à chacun d'entre nous de mieux comprendre les fondamentaux de la sécurité avec notre site Internet Joomla.

En tant qu'application Open Source, Joomla! est sujet à toute sorte d'attaques pirates. C'est pourquoi il est important de prendre le plus de mesures possibles pour sécuriser votre site Joomla. En suivant les quelques conseils ci-dessous, vous minimiserez les chances d'être piraté.

Cette liste n'est bien sûr pas exhaustive et des attaques peuvent toujours survenir. Si vous pensez être une cible privilégiée de hackers, faites appel à un professionnel.

Ce sujet couvre les aspects suivants :

• Garder Joomla et ses extensions à jour
• Utiliser des identifiants de connexion complexes
• Une bonne utilisation des droits et permissions de fichiers
• Utiliser les extensions de sécurité de Joomla
• Faire des sauvegardes régulièrement
• Protéger l'accès à l'administration

Cyber Menaces & Cyber Attaques, Hacking, Defacing, Spamming... sont des termes que tout webmaster connait (plus ou moins bien) mais redoute (énormément) lorsqu'il porte la responsabilité du bon fonctionnement des sites Internet de ses clients !

Se prémunir contre ces menaces n'est pas chose aisée. Cela exige une réelle expertise technique ainsi que de très nombreuses heures de travail, tant préventif que curatif... l'investissement humain, matériel et financier dépend directement de ce qui doit être protégé. En effet, les attaques sont radicalement différentes selon qu'il s'agisse d'un simple site vitrine local parfaitement anodin ou, a contrario, d'un site gouvernemental voire celui d'une grande entreprise détentrice de secrets industriels. Les hackeurs ne sont pas les mêmes. Leur expertise non plus !

A notre niveau, il y a peu de chance que nous intéressions les meilleurs hackeurs de la planète opérant - sous contrat - à détourner ou détruire les données à très forte valeur ajoutée. Leur action, toujours à notre niveau de ressources, est virtuellement indétectable. Mais cela ne veut pas dire que nous ne soyons pas à l'abri des nombreuses attaques automatiques ni des dégradations enjouées de "script kiddies". Un site détruit c'est un client très mécontent, une image de marque en chute libre et de nombreuses heures de travail à notre charge pour le restaurer.

Nous verrons lors de cette conférence web :
- Quelles sont les règles de sécurité de base avec Joomla ?
- Qu'est-ce qu'un serveur dit "sécurisé" ?
- Quelles sont les attaques les plus fréquentes avec Joomla ?
- Quelles sont les conséquences d'une attaque (sur le SEO, le serveur, les fichiers...) ?
- Qui sont les cibles des hackers ?
- Des extensions comme Admin Tools et AeSecure suffisent-elles à bien sécuriser Joomla ?
- Concrètement, quelles solutions avons-nous pour réhausser le niveau de sécurité ?

Pour en savoir plus :
http://www.nosyweb.fr/le-cms-joomla/introduction-a-la-securite-appliquee-a-joomla.html

Joomla est un système de gestion de contenu (CMS) open-source basé sur un framework MVC. C'est actuellement le 2ème CMS le plus utilisé sur Internet après Wordpress, avec une part de marché de 2,8%. Bien que cela ne semble pas beaucoup, ce sont plusieurs millions d'entreprises et de blogs qui ont choisi d'alimenter leurs sites web avec Joomla.

Comme pour toute plateforme fortement utilisée, des problèmes de sécurité surgissent régulièrement. Les risques d'être attaqué sont plus importants et des vulnérabilités sont constamment découvertes et exploitées. Suivez notre guide complet afin de renforcer la sécurité de votre installation Joomla et vous aider à prévenir les risques d'être piraté ou d'être victime de la prochaine attaque par force brute.

Votre site Joomla est en version 2.5 et vous avez remis à plus tard son transfert en version 3. Et cela : 

• Peut-être par manque de temps ?
• Peut-être par manque de connaissances ?
• Car vous considérez que ce n'est pas une priorité...

Pourquoi évoluer vers Joomla 3.x ?

1. L'argument de la Sécurité :

Joomla 2.5 n'évolue plus et ses failles de sécurité sont désormais bien connues. A partir de Joomla 3.4, un code "UploadShield" a été intégré, qui permet de détecter la plupart des ajouts malveillants en examinant le nom et le contenu des fichiers. Récemment encore, nous avons vu à quel point il était important de tenir sa version Joomla à jour; en effet, une faille de sécurité dans la version 3.6.3 permettait de créer un compte Administrateur.

2. L'argument de la Rapidité :

Même si l'impact sur la rapidité de chargement du site est bien moins importante que, par exemple, la qualité de l'hébergement (cf. notre dossier Quel hébergeur et hébergement Joomla 3.x faut-il choisir ?), Joomla versions 3.x a été mesuré comme 15% plus rapide que les mêmes sites en version 2.5.
De plus, à partir de la version 3.5, Joomla peut fonctionner (sous réserve de compatibilité des composants de votre site), avec la version 7 de PHP. En raison de l'optimisation de PHP 7, cette évolution a un fort impact sur la vitesse de chargement du site (jusqu'à 40% environ). C'est d'autant plus de signes positifs envoyés à Google pour votre référencement.

3. L'argument de la Fiabilité / Evolutivité:

Les éditeurs de composants ne proposent plus d'évolutions pour Joomla 2.5. Ces évolutions (nouvelles fonctionnalités, corrections de bugs) sont désormais uniquement incluses dans des versions d'extensions compatibles avec Joomla 3.x.  Egalement, les nouveaux composants ne sont proposés que sous Joomla 3.x.
Enfin, au vu du choix fait récemment par la Team Joomla de procéder par montée de version progressive (et non plus par STS / LTS), les migrations entre versions majeures (Joomla 3 => 4 => 5) devraient être facilitées et s'apparenter à de simples mise à jour.

Le projet Joomla a publié une mise à jour importante pour sa série 3.6 : Joomla 3.6.4. Comme cette version comprenait un correctif pour un problème important de sécurité, Joomla a publié une annonce quelques jours auparavant indiquant la date de sortie exacte afin que les utilisateurs se préparent et planifient la mise à jour.

En tant que service d’aide à la mise à jour des sites Joomla (et Wordpress), nous avons ici, chez Watchful, une vue de premier rang sur ce processus. Certains développeurs d'extensions comme Akeeba et JCE ont également coordonné la publication des mises à jour avec la version 3.6.4 de Joomla.

Dès que Joomla 3.6.4 a été publié, les utilisateurs de Watchful ont commencé à se connecter et à mettre à jour leurs sites en utilisant notre 1-click updater.

Les modèles de mise à jour varient considérablement, avec des Watchers qui mettent seulement Joomla à jour - y compris certains clients qui mettent à jour plusieurs dizaines de sites à la fois - et d'autres qui prennent une approche plus prudente en mettant à jour Joomla ainsi que toutes les extensions d'un site à la fois.

Comme il y avait une activité de mise à jour importante cette semaine et que la sécurité d'un site Web n'a jamais été aussi cruciale dans l’actualité et la blogosphère, nous avons décidé d'examiner les taux d'adoption pour les différentes versions de Joomla et quelques extensions Joomla. Voici un résumé de ce que nous avons observé.

Le contexte du HTTPS

Le HTTPS est la combinaison du HTTP avec une couche de chiffrement SSL. Le SSL est un procédé de chiffrement des données entre le serveur et votre terminal. Le SSL repose sur l'obtention d'un certificat par nom de domaine (voir plus loin).

Au travers des informations distillées par Google depuis Août 2014 et qui se sont accélérées fin 2016, le passage au HTTPS est inévitable. L'année 2017 sera l'année de cette évolution majeure pour votre site. D'ailleurs, toutes les agences web ont placé cette démarche tout en haut de leur "to do list".

D'ores et déjà vous avez peut-être observé ce type de message dans Google Search Console :

La raison principale invoquée par Google est d'augmenter la sécurité globale des sites web. Le mouvement est lancé, il est inéluctable.

Joomla 4 a été publié en version de test et même s'il est encore en phase de développement, nous voyons déjà beaucoup de nouvelles fonctionnalités et d’améliorations. Joomla 4 possède un meilleur système de sécurité en exigeant au minimum PHP 7, en utilisant de nouvelles technologies, en supprimant les fonctionnalités obsolètes… Tout cela permet de faciliter la sécurisation des sites Web basés sur Joomla 4.

Les problèmes lors des migrations de serveur, des installations de composants et de la sécurisation d’un site Joomla proviennent souvent de permissions mal configurées sur les dossiers et les fichiers. 

Dans ce tutoriel, vous apprendrez à corriger les permissions accordées sur les dossiers et les fichiers en utilisant Admin Tools Core. Ce composant populaire permet de corriger rapidement les autorisations des dossiers et des fichiers.

Identifiez, supprimez et renforcez votre site après un piratage.

Sucuri s'engage à aider les administrateurs Joomla! à identifier et nettoyer leurs sites Web piratés. Nous avons mis au point ce guide pour aider les propriétaires de sites Web à suivre le processus d'identification et de nettoyage d'un site Joomla! piraté. Ceci n'est pas censé être un guide complet, mais il devrait aider à traiter 70% des infections que nous voyons.

Les indicateurs permettant de détecter qu’un site Joomla! a été piraté sont les suivants :

• Mise sous liste noire par Google, Bing, McAfee, etc.
• Comportements du navigateur inattendus ou anormaux
• Mots-clés de spam dans le contenu du moteur de recherche
• Suspension de votre site par l’hébergeur pour cause d'activité malveillante
• Modification de fichiers ou problèmes d'intégrité du noyau de Joomla!
• Nouveaux utilisateurs malveillants dans le tableau de bord Joomla!

Eloigner votre site Joomla des pirates informatiques n'est pas chose facile. Cependant, il y a des bonnes pratiques de bases que vous pouvez mettre en œuvre pour éviter certaines menaces.
Dans ce didacticiel, vous apprendrez comment sécuriser votre site Web Joomla! lors de son installation.

Protéger votre site Joomla contre le piratage peut être relativement simple si vous suivez quelques principes de base. Sécuriser votre site Joomla commence par la protection des trois composantes suivantes :

1. Votre ordinateur.
2. Votre hébergement web.
3. Votre installation initiale de Joomla.

Joomla est apparu sur la scène en 2005 comme un composant du système de gestion de contenu (CMS) Mambo. Téléchargé plus de 91 millions de fois, il a depuis éclipsé Mambo pour devenir une plateforme utilisée pour réaliser des sites de toutes tailles.

Selon le dernier rapport Hacked Websitede Sucuri, qui a utilisé des informations provenant de plus de 36 000 sites compromis, Joomla est le deuxième CMS le plus fréquemment infecté, entre WordPress et Magento. Les sites Joomla constituent une cible attrayante pour les pirates informatiques, souvent en raison de mauvaises configurations de sécurité, d'extensions tierces vulnérables et de serveurs exécutant des logiciels de base obsolètes.

Joomla est l'un des CMS les plus populaires au monde. Cette popularité en fait une cible parfaite pour les pirates informatiques.

Les pirates recherchent des cibles faciles. Quand ils en trouvent une avec des failles de sécurité, ils se mettent tout de suite au travail.

Sécuriser un site demande beaucoup de travail mais, ne vous inquiétez pas, nous allons vous guider grâce à l’expertise acquise lors de nos années d'expérience.

Dans cet article, nous allons couvrir la partie interne de Joomla. Vous pouvez utiliser l'une des extensions de sécurité joomla recommandées ci-dessous pour sécuriser votre site Web. Il y a des tonnes d'extensions de sécurité Joomla sur JED mais nous avons fait le gros du travail pour vous sélectionner les meilleures extensions de sécurité Joomla.

Dans un article précédent, nous avons vu comment télécharger automatiquement les sauvegardes de votre site sur Google Drive avec Akeeba Backup Pro.

Stocker les sauvegardes de votre site Joomla sur un serveur externe offre une sécurité supplémentaire. Mais les sauvegardes prennent de l'espace.

Akeeba Backup Pro vous permet de définir un quota pour vos sauvegardes stockées à distance en fonction de l'un des critères suivants :

1. Par âge maximum (en jours) des sauvegardes.
2. Par taille totale (en Mo) des sauvegardes.
3. Par nombre maximal de sauvegardes effectuées.

Dans ce didacticiel, vous allez voir comment configurer ces options.

Vos e-mails sont une cible de choix pour les hackers.

En premier lieu car certains messages peuvent renfermer vos identifiants et mots de passe sur certaines applications et sites.
Egalement l’accès au détail de vos mails permet aux escrocs de mieux vous connaitre et de cibler, voire personnaliser, leurs tentatives de phishing (usurpation de l’identité d’un site qui vous est familier pour récupérer vos identifiants).