Meilleures pratiques pour sécuriser votre Joomla

Le système de gestion de contenu Joomla (CMS) est répandu sur Internet en raison de sa facilité d'utilisation. Il a été, à ce jour, téléchargé plus de 110 millions de fois. Aussi populaire qu'il soit Joomla, comme tous les autres sites Web, CMS, applications, site de e-commerce, présente des failles de sécurité. Personne n'y échappe, c'est pour cela qu'il est important de prendre toutes les précautions dès le départ pour assurer la protection et la Sécurite de votre site joomla.

La sécurité de Joomla

Ce guide est une liste détaillée des actions à mener pour sécuriser Joomla. Si la protection de votre site Web Joomla contre toutes les attaques, présentes et à venir, est une de vos préoccupations, alors lisez cet article, il a été écrit pour vous ! Tous les actions mentionnées dans cet article, visent à vous permettre de sécuriser votre site Joomla.

Choisissez des mots de passe sécurisés

Utilisez des noms d'utilisateurs et mots de passe compliqués. N'utilisez pas "admin" comme nom d'utilisateur et 123456 comme mot de passe. Choisissez un mot de passe complexe. C'est probablement l'un des meilleurs moyens de renforcer votre sécurité Joomla, et le plus simple !

L'utilisation d'un mot de passe sécurisé est nécessaire pour une sécurité Joomla. Assurez-vous que votre mot de passe de connexion est suffisamment long (8 à 14 caractères) et comprend des lettres, des chiffres et des symboles. Étant donné que les mots de passe sont sensibles à la casse, l'utilisation de lettres majuscules et minuscules le rend encore plus fort. De plus, prenez l'habitude de changer les mots de passe administrateur au moins une fois par mois.

Il existe des générateurs de mot de passe sécurisé comme le site : https://www.lastpass.com/fr/features/password-generator
Exemple de mot de passe sécurisé généré par le service en ligne : #T1$i!ReoD7bmexv^ki#pi%ewe

Profils et droits

Joomla propose des profils avec des niveaux d'accès différents. 

Les gestionnaires ont accès au Back Office.

  • Ils peuvent créer et modifier des catégories et des articles.
  • Ils ont accès aux médias qu'ils peuvent télécharger et supprimer des médias.
  •  Mais ils ne peuvent pas installer ou de supprimer des extensions.

Les administrateurs disposent de tous les droits dont disposent les gestionnaires.

  • Ils ont accès à la gestion des utilisateurs, au gestionnaire de menus et au gestionnaire d'extensions. I
  • Mais ils ne peuvent accéder au menu de configuration de Joomla.

Les super administrateurs ont un accès complet au backend Joomla. 

  • Ils ont accès à la Configuration globale.
  • Ils peuvent ajouter, modifier et supprimer des super utilisateurs.

Distribuez avec soin les ôles et les droits à chaque groupe d'utilisateurs. 

Utilisez l'authentification à deux facteurs Joomla

Il est recommandé d'activer l'authentification à deux facteurs de Joomla car elle ajoute une couche de sécurité supplémentaire à votre site Web Joomla. Traditionnellement, lorsque vous souhaitez vous connecter à votre site Web, vous devez fournir votre nom d'utilisateur et votre mot de passe afin de vous identifier pour accèder au Back Office de Joomla. Le problème est que votre nom d'utilisateur et votre mot de passe peuvent être volés. Le plugin d'authentification à deux facteurs Joomla peut protéger votre site Web contre les pirates en ajoutant une deuxième couche de sécurité vous demandant d'entrer un code à 6 chiffres, après avoir saisi votre nom d'utilisateur et votre mot de passe, qui change toutes les 30 secondes, ce qui rend très difficile pour les pirates de devinez le code. 

Restreindre l'accès au backend d'administration Joomla

Limitez l'accès au Back office de Joomla en utilisant le filtrage IP.  

Étape 1 : Créez un fichier .htaccess - s'il n'est pas déjà présent dans le dossier que vous souhaitez protéger.
Étape 2 : Ajoutez le code suivant au fichier .htaccess :

Order Deny, Allow
Deny from all
Allow from xx.xx.xx.xx

Étape 3 : Entrez l'adresse IP dédiée à partir de laquelle vous souhaitez autoriser l'accès à la place de xx.xx.xx.xx.

Vous pouvez également utiliser des extensions de sécurité qui peuvent restreindre l'accès au backend d'administration Joomla à l'aide de la fonction de filtrage IP et incluent de nombreuses autres fonctionnalités qui renforcent la sécurité de votre site Web Joomla.

Utilisez des connexions FTP sécurisées

Assurez-vous que les connexions utilisées pour accéder aux fichiers de votre site Web Joomla sont sécurisées. Vous devez utiliser le cryptage SFTP si votre hébergement le propose ou SSH. Si vous utilisez un client FTP, le port par défaut pour SFTP est généralement 22.

Certains clients FTP stockent les mots de passe en texte brut ou encodés sur votre ordinateur. Même certains mots de passe codés peuvent être reconvertis à l'original. Nous vous recommandons fortement de ne pas enregistrer les mots de passe FTP dans le client pour éviter d'être piraté.

Effectuez des sauvegardes régulières

Gagnez du temps en vous préparant au pire des scénarios au cas où votre site Web serait piraté. Par conséquent, il est conseillé de créer une sauvegarde de travail complète de votre site Web Joomla. Une sauvegarde fonctionnelle peut restaurer votre site Web en quelques minutes après une cyberattaque.

Sauvegarde manuelle

La sauvegarde manuelle du site Joomla sauvegarde : les fichiers et dossiers de Joomla et sa base de données. Pour sauvegarder vos fichiers et dossiers Joomla, utilisez Filezila.

La base de données peut être sauvegardée via phpMyAdmin dabs le panel de votre hébergeur. Cliquez sur le nom de la base de données sur le côté gauche de la page. puis "Exporter". Sélectionnez l'onglet Exporter puis cliquez sur le bouton "Go". Enregistrez-la ensuite dans un emplacement sécurisé.

Sauvegarde avec Akeeba BackUp

Pour une sauvegarde automatisée, téléchargez l'extension Joomla Akeeba Backup. Une fois l'installation terminée, accédez au tableau de bord de l'extension, puis sauvegardez votre site. Lorsque la sauvegarde est terminée, vous serez redirigé vers une page. Ici, cliquez sur "Gérer les sauvegardes". Cela ouvrira une page contenant toutes les sauvegardes. Vous pouvez télécharger la sauvegarde à partir d'ici et l'enregistrer localement.

Gardez votre site Web Joomla à jour

Les mises à jour de votre site Web Joomla peuvent assurer la sécurité de votre site.  

Joomla dispose d'une équipe de sécurité dédiée qui est connue pour déployer rapidement des correctifs en cas de détection de faille. Ne pas corriger votre site Web Joomla peut le rendre vulnérable au piratage.

Pour vérifier les mises à jour de votre site, vous pouvez procéder comme suit :

Étape 1 : Connectez-vous à votre site Joomla en tant que super administrateur
Étape 2 : Ensuite, accédez à Composants > Mise à jour Joomla
Étape 3
: Joomla vérifie les nouvelles mises à jour est disponibles. S'il affiche une nouvelle mise à jour, cliquez simplement sur l'option "Installer la mise à jour". 

Avant de mettre à jour vers une version plus récente de Joomla, certaines choses doivent être vérifiées :

  • Vérifiez la compatibilité de votre Template avec la nouvelle version de Joomla. Si ce n'est pas le cas, demandez à l'auteur du modèle de le mettre à jour ou d'utiliser une alternative.
  • Assurez-vous que toutes les extensions Joomla sont compatibles avec la nouvelle version de Joomla. Supprimez toutes celles qui ne sont pas compatibles. Pour mettre à jour les extensions, accédez à Extensions> Gérer et cliquez sur mettre à jour.
  • Après la mise à jour vers une version plus récente de Joomla, effacez le cache de votre site Joomla. Cela peut être fait en utilisant la fonctionnalité intégrée de Joomla.

Utilisez des extensions et des Templates de confiance

Il est recommandé d'utiliser un nombre minimum d'extensions sur votre site Web pour obtenir le niveau de sécurité Joomla optimal. L'utilisation d'extensions ou de Template non approuvés peut poser des vulnérabilités et affecter les performances de votre site Web Joomla. 

Mettez à jour la version PHP de votre site Web Joomla

Protégez votre site Web contre une variété d'attaques de piratage et renforcez la sécurité de votre site Joomla en mettant à jour la version PHP de votre site vers la dernière version stable. Assurez-vous de sélectionner une version PHP compatible avec vos modèles et extensions Joomla.

Utilisez une extension de sécurité Joomla

Il est nécessaire de limiter les tentatives de connexion sur le backend d'administration Joomla pour éviter les attaques par force brute sur votre site Web Joomla. Cela peut être mis en œuvre par diverses extensions de sécurité Joomla qui protègent le backend de l'administrateur de votre site Web contre les tentatives de piratage. Vous pouvez trouver de telles extensions dans la catégorie de la liste de sécurité des extensions Joomla .

Choisissez un fournisseur d'hébergement sécurisé

Assurez-vous que le fournisseur d'hébergement que vous choisissez implémente les mesures de sécurité Joomla. Si vous choisissez un hébergement partagé, assurez-vous que le sous-réseau est implémenté en tenant compte de la sécurité Joomla. 

Utilisez SSL pour renforcer la sécurité de Joomla

Il est fortement recommandé d'installer un certificat SSL (Secure Socket Layer) sur votre site Web Joomla car il cryptera la communication entre votre site Joomla et les navigateurs de vos visiteurs. Assurez-vous que tout votre trafic HTTP est redirigé vers HTTPS. Pour ce faire, ajoutez le code suivant à votre fichier .htaccess :

# Rediriger HTTP vers HTTPS
RewriteEngine On RewriteCond %{HTTPS} off 
RewriteCond %{HTTP:X-Forwarded-Proto} !https 
Règle de réécriture ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Vérifier les messages post-installation

Il est fortement recommandé de lire tous les messages post-installation car l'équipe Joomla vous fournit des informations importantes qui nécessitent votre attention après la mise à niveau ou après l'installation de Joomla pour la première fois. Ces messages contiennent principalement des configurations de sécurité Joomla ou des modifications de fichiers qui doivent être effectuées manuellement et qu'une mise à niveau ne peut pas modifier.

Conclusion

Parce qu'il y aura toujours des risques, la sécurité de Joomla restera un processus continu, nécessitant une évaluation fréquente des porteurs d'attaques possibles. Les propriétaires et administrateurs de sites Web doivent toujours améliorer la sécurité de leur site Web afin de réduire le risque de piratage. 

J'espère que cet article aura pu vous aider. Il est une traduction libre de l'article : https://magazine.joomla.org/all-issues/april-2021/best-practices-to-secure-your-joomla-website