20 conseils de sécurité Joomla pour une sécurité solide contre les pirates informatiques - Un guide complet

Publié: 2021-09-25

Vous cherchez des astuces de sécurité Joomla ? Si oui, cet article est pour vous. Nous allons couvrir 20 façons différentes qui vous aideront à sécuriser votre site Joomla contre les pirates. Ce sont des méthodes éprouvées qui ont fait leurs preuves au fil des ans. En tant que tel, il est vital de prendre ces mesures si vous voulez éviter à tout prix d'être piraté !

20 conseils de sécurité Joomla

1) Faites des sauvegardes régulières

Les sauvegardes sont une étape très importante que tout utilisateur de Joomla devrait suivre. Sans sauvegardes, vous ne saurez pas ce qui est arrivé à votre site s'il est piraté ou s'il y a des dommages après une mise à jour.

C'est également le meilleur moyen de récupérer d'un piratage, car vous pouvez simplement revenir à une version précédente et réessayer sans perdre aucun contenu précieux.

Sauvegarde de disque dur sur un bureau

2) Préfixe des tables de la base de données Joomla

Il est fortement recommandé de toujours changer le préfixe de table de base de données Joomla par défaut. En modifiant cela, vous pouvez empêcher les pirates d'identifier facilement les tables de votre site et ainsi leur empêcher de pirater votre base de données.

Pour ce faire, dans cPanel, allez dans la section Bases de données MySQL > onglet MyISAM > cliquez sur Afficher tout, puis modifiez le préfixe (vous pouvez en configurer un au hasard) et cliquez sur Enregistrer.

Il est également recommandé d'apporter ces modifications dans votre section PHPMyAdmin si vous l'utilisez pour gérer vos bases de données Joomla.

Vous devez toujours vérifier que tout fonctionne correctement après avoir effectué ces types de modifications en exécutant une requête MySQL.

Connexe : 25 conseils pour améliorer votre sécurité cPanel/WHM.

3) Gardez votre site Web Joomla à jour

En gardant votre site Joomla à jour, vous minimisez les risques de piratage car de nouvelles failles de sécurité sont fermées à chaque mise à jour. Vous devez toujours vous assurer que tout est à jour en vérifiant régulièrement les mises à jour via Extensions > Extension Manager.

S'il y a des mises à jour disponibles, installez-les immédiatement, et si elles vous obligent à écraser des fichiers ou des modifications de base de données, assurez-vous de les faire.

Il est également important de n'utiliser que des sources fiables lors du téléchargement d'extensions. Sinon, vous mettez tout votre site Web en danger en installant des composants/modèles commerciaux inconnus ou non fiables.

Mise à jour tapée sur une feuille de papier à l'aide d'une machine à écrire

4) Cachez votre version de Joomla

C'est toujours une bonne idée de cacher votre numéro de version Joomla afin que les pirates ne puissent pas découvrir quelles vulnérabilités ont été corrigées. Par exemple, si vous exécutez Joomla Version xyz et que la dernière version publiée est ABC, le fait de masquer ces informations empêchera les attaquants potentiels de savoir quels exploits peuvent être utilisés contre votre site.

5) Utilisez .htaccess pour déployer les paramètres de configuration de base

Vous pouvez déployer certains de vos paramètres de configuration Joomla en utilisant le fichier .htaccess. Il s'agit d'un simple fichier texte qui est placé au niveau racine de votre site Web et vous permet de configurer les options du serveur Apache pour l'ensemble du site ou même des répertoires spécifiques.

Voici quelques exemples utiles :

  • Empêcher la liste des répertoires (qui affiche tous les fichiers et dossiers sur le site Web
  • Bloquer l'accès direct à divers types de fichiers tels que php, xml, etc.
  • Mot de passe protégeant les répertoires via .htpasswd (c'est un bon moyen de restreindre l'accès aux zones sensibles)
Personne se cachant dans une boîte furtivement à travers un petit trou

6) Utilisez le plugin d'authentification à deux facteurs Joomla

Il existe de nombreux plugins Joomla Two Factor Authentication disponibles que vous pouvez installer rapidement et tirer parti de ce niveau de sécurité supplémentaire. Si un pirate parvient à mettre la main sur votre nom d'utilisateur/mot de passe, il ne peut toujours pas accéder au site à moins qu'il ne dispose également de votre appareil ou code secondaire, tel qu'un OTP (mot de passe à usage unique) généré par Google Authenticator.

Ces plugins rendront votre site plus sécurisé, c'est pourquoi il est fortement recommandé d'ajouter l'authentification à deux facteurs dans la mesure du possible !

La même chose vaut pour votre compte d'hébergement, assurez-vous d'utiliser l'authentification à deux facteurs via SSH si possible (ou toute autre méthode que vous préférez) afin de protéger l'accès complet et de limiter les chances d'être piraté.

mini page d'accueil orange d'authentification à deux facteurs

7) Restreindre l'accès à la zone d'administration de Joomla

C'est une bonne idée de restreindre l'accès à votre zone d'administration Joomla en n'autorisant que les adresses IP de confiance. Cela se fait via le fichier .htaccess et vous pouvez ajouter plusieurs entrées, comme suit :

Refuser la commande, autoriser
Refuser de tout
Autoriser à partir de xx.xx.xx.xx

La première ligne indique au serveur d'autoriser l'accès, puis les lignes suivantes définissent les adresses IP ou les sous-réseaux autorisés (en commençant par « autoriser »).

Portail de parking accès recours

8) Limiter les tentatives de connexion dans Joomla

Vous devez limiter le nombre de tentatives de connexion infructueuses car cela peut aider à prévenir les attaques par force brute. Vous pouvez le faire en définissant un paramètre de configuration spécifique dans votre site Joomla (c'est-à-dire le nombre maximal de connexions échouées avant de bloquer une adresse IP).

Cela se fait via Système > Configuration globale > Sécurité, puis en choisissant combien de fois les utilisateurs sont autorisés à échouer à la connexion avant d'être bloqués.

9) Utilisez des mots de passe forts

Comme pour tout site Web contenant des informations sensibles, telles que des informations de connexion et des données de carte de paiement, il est extrêmement important d'utiliser des mots de passe forts.

Les mots de passe forts doivent comporter au moins 12 caractères et inclure un mélange de lettres majuscules/minuscules, de chiffres et de symboles spéciaux (c'est-à-dire !”£$%^&*). Évitez également d'utiliser le même mot de passe pour différents services car cela les rendra tous non sécurisés si un compte est piraté.

Il est également important que vous n'utilisiez pas le même mot de passe pour votre site Joomla et votre courrier électronique, car les pirates informatiques sont connus pour essayer des combinaisons courantes de noms d'utilisateur/mots de passe, ce qui peut conduire à une prise de contrôle complète du compte dans certains cas. Il est recommandé que chaque service/site ait son propre mot de passe unique.

Il existe de nombreuses façons de gérer et de mémoriser les pass. Il est également important de ne pas noter vos mots de passe partout où d'autres pourraient accéder (y compris sur des post-it collés sur le moniteur ou sous les claviers).

Si vous le souhaitez, il existe de nombreuses façons de stocker les mots de passe en toute sécurité, ce qui inclut l'utilisation d'un gestionnaire de mots de passe, tel que le bien connu LastPass. Ceci est gratuit pour un usage personnel, mais il existe également un service premium disponible si vous avez besoin de fonctionnalités supplémentaires.

une chaîne verrouillée sur certains téléphones, ordinateurs et livres

10) Définir les autorisations de fichiers Joomla recommandées

Lorsque vous installez Joomla, il est recommandé de définir correctement les autorisations de fichiers sur les répertoires et les fichiers de votre site Web. Ne pas le faire permettra aux pirates d'obtenir éventuellement un accès complet et de faire des ravages, comme l'insertion de code malveillant dans votre site ou l'accès à des informations sensibles, y compris les détails de la base de données, les noms d'utilisateur et les mots de passe, etc.

Cependant, si les autorisations sont trop restrictives, vous pouvez rencontrer des problèmes lorsque vous essayez de télécharger, de modifier ou de supprimer des fichiers/dossiers.

11) Mettre à jour la version PHP de votre site Joomla

Joomla peut fonctionner sur plusieurs versions de PHP, y compris la dernière version de PHP (c'est-à-dire la version v.52), connue sous le nom de Zend Guard Loader. Il fournit des améliorations de performances, des fonctionnalités de sécurité supplémentaires et des corrections de bogues par rapport aux versions plus anciennes, telles que la v.44.

Il est également possible d'exécuter Joomla sur des versions héritées précédentes, bien que cela ne soit pas recommandé car elles contiennent des vulnérabilités et des bogues de sécurité connus, ce qui peut conduire à une compromission totale.

En plus de cela, il convient également de noter que PHP v.52 est la seule version prise en charge par la dernière version de Joomla (c'est-à-dire la version v.57). Toutes les autres versions sont considérées comme non prises en charge en raison des risques de sécurité potentiels liés à leur utilisation.

Si vous hébergez votre site Web Joomla sur un serveur Linux, assurez-vous qu'il exécute une pile LEMP à jour, qui inclut Nginx, MariaDB et PHP.

12) Utilisez un hébergement sécurisé

Utilisation d'un hébergement sécurisé qui fournit un certificat SSL gratuit ainsi qu'une sécurité avancée au niveau du serveur, telle qu'une protection automatique par pare-feu, des sauvegardes quotidiennes hors site et bien plus encore.

Choisissez simplement le plan qui vous convient le mieux et installez Joomla ou WordPress en suivant nos guides d'installation simples pour commencer tout de suite !

un téléphone sur fond jaune avec un verrou sur l'écran

13) Désactiver les fonctions PHP dangereuses

PHP a une variété de fonctions intégrées telles que eval() qui vous permettent d'exécuter du code PHP arbitraire. Ceci est couramment utilisé par les pirates afin d'exécuter des scripts malveillants ou d'accéder aux fichiers/base de données de votre site Web.

Par conséquent, il est recommandé de désactiver les fonctions PHP dangereuses (si elles ne le sont pas déjà) afin d'empêcher les attaquants d'y accéder et de compromettre potentiellement votre site Web/serveur, etc.

14) Désactiver les injections de script

Les injections de scripts permettent aux pirates d'injecter du code malveillant dans votre site Web, ce qui peut les amener à manipuler l'apparence des pages Web, à rediriger les visiteurs ailleurs, à voler des informations sensibles, etc.

De nombreuses attaques par injection de script peuvent être évitées en définissant des variables PHP côté serveur (par exemple via le fichier .htaccess) qui empêchent l'exécution directe de tout fichier dans la racine du document du serveur.

15) Surveillez les fichiers/activités suspects

Vous devez surveiller régulièrement votre site Web pour détecter toute activité suspecte (par exemple, création de nouveaux fichiers, demandes d'accès inhabituelles, etc.). Cela vous permet de détecter les violations dès le début avant que des dommages ne soient causés et vous donne également la possibilité d'essayer de supprimer les pirates du système le plus rapidement possible.

une personne piratant un ordinateur dans le noir

16) Filtrez les commentaires indésirables dans Joomla

Il convient de mentionner que les mauvais robots peuvent être assez ennuyeux et laisser des commentaires indésirables sur votre site Web.

En effet, beaucoup d'entre eux explorent le Web à des fins de référencement et publieront des commentaires/contenus afin d'obtenir des backlinks précieux qui les aideront à améliorer leur classement dans les moteurs de recherche (SEO).

Par conséquent, il est recommandé d'installer un plugin, tel que bb-botmanager, pour filtrer les commentaires indésirables et les empêcher d'apparaître sur votre site.

quelqu'un filtre le café avec un filtre à café

17) Utilisez SSL pour renforcer la sécurité de Joomla

SSL est recommandé pour tous les sites Web de nos jours et doit être considéré comme une exigence de base.

Les certificats SSL fournissent une connexion cryptée entre votre serveur et l'utilisateur final, ce qui permet d'empêcher les pirates d'intercepter des informations sensibles telles que les informations de connexion, etc.

18) Audit de sécurité Joomla

Il convient également de mentionner que vous pouvez effectuer un audit de sécurité Joomla pour identifier les problèmes/failles potentiels qui pourraient être exploités par des pirates.

Cela vous permet de corriger toutes les erreurs avant qu'elles ne soient utilisées contre votre site et aidera à protéger votre site Web contre de futures attaques.

Si vous souhaitez effectuer votre propre audit de sécurité, consultez notre article de blog Effectuer un audit de sécurité pour votre code : les bases.

19) Utiliser un pare-feu

L'une des choses les plus importantes que vous puissiez faire pour sécuriser votre site Web Joomla est d'utiliser un pare-feu.

Un pare-feu bloque essentiellement tout trafic non autorisé et empêchera les pirates d'accéder à votre serveur (par exemple via des scripts malveillants, etc.).

Il existe de nombreux pare-feu disponibles, tels que ModSecurity, Naxsi, Suhosin, etc.

un mur de briques

20) Supprimez les plugins/thèmes inutiles

Il est également recommandé de supprimer tous les plugins et thèmes inutiles de Joomla, car ils pourraient être utilisés à des fins malveillantes par des pirates informatiques pour obtenir un accès non autorisé, injecter des scripts dans des pages Web, etc.

FAQ

Pourquoi SSL est-il important lorsqu'il s'agit de sécuriser un site Joomla ?

Les certificats SSL fournissent une connexion cryptée entre votre serveur et l'utilisateur final, ce qui permet d'empêcher les pirates d'intercepter des informations sensibles, telles que les identifiants de connexion, etc.

À quelle fréquence dois-je surveiller mon ou mes sites Web pour détecter toute activité suspecte ?

Il est recommandé de surveiller régulièrement vos sites/systèmes afin que toute violation ou vulnérabilité puisse être détectée tôt avant que des dommages ne puissent être causés, par exemple via des commentaires de spam, des attaques par injection, des exploits d'accès, etc. Cela vous permet de prendre des mesures pour résoudre les problèmes rapidement plutôt que d'attendre que des pirates informatiques les exploitent et y accèdent, etc.

Qu'est-ce qu'un pare-feu et pourquoi en utiliser un ?

Un pare-feu bloque essentiellement tout trafic non autorisé et empêchera les pirates d'accéder à votre serveur (par exemple via des scripts malveillants, etc.). Il existe de nombreux pare-feu disponibles tels que ModSecurity, Naxsi, Suhosin, etc.

Comment supprimer les plugins/thèmes inutiles dans Joomla ?

Il est recommandé de supprimer tous les plugins et thèmes inutiles de vos sites Web, car ils pourraient être utilisés à des fins malveillantes par des pirates informatiques pour obtenir un accès non autorisé, injecter des scripts dans des pages Web.

Joomla est-il sûr à utiliser ?

Joomla est un excellent système de gestion de contenu qui offre le meilleur des deux mondes en termes de facilité d'utilisation et de flexibilité. Cependant, comme tout autre CMS, il n'est jamais sécurisé à 100%, vous devez donc toujours prendre des mesures pour renforcer votre site contre les vulnérabilités potentielles des pirates, etc.

Qu'est-ce que RSFirewall ?

RSFirewall est un puissant plugin Joomla qui vous permet de contrôler et de surveiller entièrement l'accès à votre site via une interface facile à utiliser. Vous pouvez l'utiliser pour bloquer les adresses IP, limiter l'accès par heure de la journée, etc.

Qu'est-ce que ModSecurity ?

ModSecurity est un pare-feu d'application Web (WAF) open source qui vous permet de contrôler et de surveiller le trafic entrant/sortant de vos serveurs. C'est un outil puissant pour empêcher les pirates d'accéder à votre site.

Qu'est-ce qu'un audit de sécurité et pourquoi devrais-je envisager d'en effectuer un sur mon ou mes sites ?

Un audit de sécurité identifie essentiellement les vulnérabilités/problèmes qui pourraient être exploités par des pirates. Il vous permet de corriger toutes les erreurs avant qu'elles ne soient utilisées contre votre site et aidera à protéger votre site Web contre de futures attaques.

Conclusion

En conclusion, Joomla est un CMS très populaire qui contient de nombreuses failles de sécurité. En tant que tel, il est important de suivre les étapes pratiques décrites dans cet article pour assurer la sécurité de votre site Web.

Même si Joomla existe depuis un certain temps, il y a encore des utilisateurs/développeurs qui ne prennent pas la sécurité assez au sérieux. Cela donne aux pirates un accès complet à leurs serveurs sans aucune résistance de la part des propriétaires

Assurez-vous donc de faire tout ce que vous devez faire en matière de sécurité Joomla !