10 conseils pour sécuriser et protéger votre site Joomla!

Written by | 05 April 2016 | Published in 2016 April
Parce qu'il vaut mieux prévenir que guérir, la sécurité d'un site web doit être une priorité permanente pour tout propriétaire de site. Afin de garder en tête les bonnes pratiques en la matière, voici le second volet consacré à la sécurité avec 10 conseils pour sécuriser et protéger votre site Joomla contre les intrusions et les infections.  
  1. Choisissez un mot de passe vraiment sécurisé

    Le panneau d'administration est la porte d'entrée que vous devez sécuriser au maximum. Commencez par choisir un compte administrateur qui ne soit pas "admin" ou quelque chose qui soit évident à trouver (votre prénom, par exemple). Pour le mot de passe, n'hésitez pas à mélanger les lettres et les chiffres, les majuscules, les minuscules et les caractères spéciaux : /\*+#^. Une dizaine de caractères est aujourd'hui un minimum pour garantir un niveau de sécurité satisfaisant.

    Quelques liens utiles pour vous aider à génèrer un mot de passe sécurisé :

    • www.serveu.net : générateur de mot de passe sécurisé,
    • Passoire : ce programme en ligne génère des mots de passe, en évalue et en améliore la robustesse,
    • www.keylength.com: cet outil en ligne permet de calculer la bonne taille d'une clef suivant différentes méthodes.
  2. Sauvegardez votre site web

    Choisissez un bon hébergeur pour votre site web qui propose une sauvegarde de ses serveurs. Même si vous disposez d'un hébergeur fiable, faites malgré tout une sauvegarde manuelle de votre site chaque semaine (au minimum) et rapatriez-la sur votre ordinateur. Si possible, mettez en place une tâche cron pour automatiser cette sauvegarde hebdomadaire.

  3. Sécurisez l'accès au panneau d'administration

    Commencez par masquer la présence de votre panneau d'administration aux pirates potentiels. Seuls ceux qui ont disposent de l'url secrete pourront accéder à l'administration du site.

    Sur le Joomla Extensions Directory, vous trouverez de nombreuses extensions qui permettent de masquer et sécuriser efficacement le panneau d'administration de votre site.

    Quelques liens utiles :

  4. Maintenez votre système à jour

    On ne le répêtera jamais assez mais le rôle le plus important en tant qu'administrateur d'un site Joomla est de garder Joomla et toutes les extensions à jour.

    Pour savoir comment mettre à jour Joomla, vous pouvez consulter la documentation officielle.

    Vérifiez également la liste des extensions vulnérables ainsi que les mises à jour obsolètes des extensions. Ces informations sont fournies par Joomla.

  5. Nettoyez votre site régulièrement

    Périodiquement, faites le tour des extensions installées sur votre site : composants, modules, plugins, templates et langues. Sont-elles toutes utilisées ? Supprimez sans hésiter celles qui ne vous sont plus d'aucune utilité.

    Videz également toutes les corbeilles : articles, modules, catégories, menus, etc.

  6. Scannez votre site

    Parce qu'il vaut mieux prévenir que guérir, il existe de nombreux outils en ligne (souvent gratuits) qui permettent de détecter si votre site souffre d'une infection virale et/ou d'une faille de sécurité.
    Si vous avez le moindre doute, procédez sans délai à un examen de votre site Joomla.

    Quelques liens utiles :

  7. Utilisez les bonnes permissions

    Les dossiers et fichiers de Joomla doivent aussi être sécurisés pour que l'ensemble de votre site soit cohérent et stable. Pour cela, vous devez veiller à ce que les permissions CHMOD d'accès, de lecture et d'écriture sur ces éléments soient correctement configurées.

    • 755 pour les dossiers
    • 644 pour les fichiers
  8. Utilisez l'authentification en deux étapes

    Depuis Joomla! 3.2, vous avez la possibilité de renforcer significativement la sécurité du panneau d'administration grâce à deux nouveaux plugins natifs. Dans les deux cas, la protection peut s'appliquer sur le backend, sur le frontend ou sur les deux. Il convient également de modifier le profil de l'utilisateur pour cela.

    • YubiKey : ce plugin permet aux utilisateurs de votre site d'utiliser l'authentification en deux étapes en se servant d'une clé USB de sécurité YubiKey. Les utilisateurs doivent d'abord se procurer leur propre YubiKey sur le site http://www.yubico.com/.
    • Google Authenticator : ce plugin vous permet d'utiliser l'authentification en deux étapes en vous servant de Google Authenticator qui est un générateur de mots de passe à usage unique basé sur l'heure.
  9. Passez au .HTACCESS

    Afin d'ajouter une couche supplémentaire de sécurité, vous pouvez utiliser le fichier .htaccess afin de protéger certains répertoires sensibles par mot de passe. Par contre, il faut savoir que la protection par mot de passe .htaccess seule est pas une méthode parfaitement sécurisée. Elle doit être utilisée sur un serveur SSL pour atteindre une protection maximale. Un serveur SSL est requis pour protéger votre site contre les attaques plus sophistiquées.

    Quelques liens utiles :

  10. Informez-vous

    Rien ne remplace la connaissance en terme de sécurité pour se prémunir d'une infection ou d'un intrusion. Il est de votre responsabilité de vous informer régulièrement sur les questions de sécurité sur le web afin de connaîtres les risques en cours et les bonnes pratiques à adopter pour s'en préserver.

    Quelques liens utiles :

 

Read 9065 times Tagged under French
Daniel Dubois

Daniel Dubois

I started Joomla sitebuilding in 2007, without any knowledges about HTML , CSS or PhP. I am completely self taught !

Now, I try to help beginners by sharing my knowledge and giving advice. I am a proud and enthusiastic member of the Joomla Extensions Directory and a freaquent tweeter on all things Joomla.