Comment sécuriser efficacement un site Joomla

Bon Joomla c'est génial mais au niveau sécurité, si on fait rien, c'est une vraie passoire et ça peut vite devenir problématique : site piraté, spam, flood, etc... l'enfer pour qui a déjà vécu une telle situation !

Alors il y a bien des composants payants pour Joomla qui vous promettent de dormir sur vos deux oreilles, mais pour en avoir testé de nombreux, cela revient souvent à poser une passoire sur une autre passoire ;)

Bref, passez votre chemin et lisez la suite de ce billet dans lequel je vous explique comment sécuriser votre site Joomla facilement, durablement et GRATUITEMENT !

1. La première règle est de toujours avoir la dernière version stable de Joomla, car souvent elles contiennent des mises à jour de sécurité.

http://www.joomla.fr/

2. Deuxième règle : Télécharger et installer un plugin pour protéger l'accès à l'administration de votre site (j'écrirai bientôt un article sur ce point)

http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection

3. Troisième règle : Télécharger et installer le script gratuit crawl protect pour protéger votre site Joomla de la plupart des attaques : injection de code, injection SQL, robots "Badbots" (robots des hackers), aspirateurs de site, commande shell, etc...

http://www.crawltrack.net/crawlprotect/fr/

L'installation est relativement simple et les résultats sont ultra efficaces !

a. Téléchargez crawl protect

b. Envoyez le répertoire contenant les fichiers à la racine de votre site (via FTP)

c. Allez à l'adresse (URL) ou est installé votre crawl protect et suivez les instructions

   Exemple : http://www.votresite.com/crawlprotect

d. Entrez un identifiant et un mot de passe

e. Une fois l'installation terminée, cliquez sur l'onglet administration de crawlprotect pour créer votre fichier htaccess. Laissez tous les paramètres tels quels et cliquez simplement sur "créer le fichier htaccess". Validez et c'est terminé !

La documentation complète en Français est disponible ici

4. Quatrième règle : NE JAMAIS INSTALLER sur votre site des composants, modules, templates ou plugin qui proviennent de sources douteuses comme le téléchargement illégal par exemple !

Pourquoi ? Et bien beaucoup de Hackers modifient une partie du code de ces fichiers avant de les partager sur les sites illégaux. Lorsque vous téléchargez ensuite ces fichiers et que vous les installez sur votre site, vous importez vous même l'objet du crime qui permettra ensuite aux hackers d'attaquer très facilement votre site... Vous voilà maintenant prévenu(e) !

5. La cinquième règle est valable seulement si vous avez un serveur dédié pour l'hébergement de votre site : Toujours maintenir votre serveur à jour avec les dernières mises à jour de sécurité (Cela fera aussi l'objet d'un futur article).

6. Sixième règle : Toujours faire des sauvegardes régulières de votre site et de la base de donnée car en cas de piratage, il pourra être nécessaire de restaurer une version saine de votre site.

Personnellement, j'ai opté pour une sauvegarde automatique quotidienne de tous mes sites et bases de données. C'est un script qui se charge de sauvegarder le répertoire /home de mon serveur dédié et d'envoyer les sauvegardes sur un autre serveur. Si vous avez un serveur dédié OVH avec la release2, je vous invite à lire cet excellent tutoriel pour mettre en place le même type de sauvegarde.

Voilà, avec tout ça une bonne partie des trous de votre passoire devraient être colmatés même si le risque zéro n'existe jamais en terme de sécurité...

Commentaires (2)

Ecrire un commentaire