Besoin d'aide ?

Si vous êtes un utilisateur Premium Premium, venez poser votre question dans le forum privé.


La sécurité et Joomla!®

Cet article a été originellement posté sur mon blog http://allevents.avonture.be en septembre 2013.   Le site web d'aeSecure est désormais plus adapté aujourd'hui à ce type de billet.  

01/09/2014 - Version 1.3 (plus de 22.000 consultations à ce jour).

Ce document sur la sécurité et Joomla!® a été rédigé pour la première fois en septembre 2013 pour une présentation dans le cadre d'un JoomApéro belge (http://jugwallonie.be).  Il s'agit d'un ensemble bonnes pratiques concernant la sécurité en général et de son site web en particulier.

L'actuelle version 1.3 correspond aux conférences sur la sécurité faites durant les JoomlaDay d'Algérie et de Paris; mai 2014.

Le document qui vous est proposé vise avant tout le webmaster qui souhaite augmenter la sécurité de son site. Toutes les techniques proposées sont à son niveau et ne requiert que fort peu de compétences techniques et aucun accès supérieur à celui d'un administrateur. Au pire, vous devrez utiliser un client FTP mais rien d'autres (pas de Putty p.ex.).

Ce document ne se veut nullement exhaustif ni être une quelconque bible; juste un partage de bonnes pratiques.

  1. Télécharger


Vous y trouverez pêle-mêle :

  1. Plusieurs techniques d'obfuscation pour réduire le nombre d'informations trop facilement accessibles (cacher votre version de Joomla!®, cachez vos fichiers xml, masquer les erreurs, php Easter Eggs, ...
  2. Une stratégie de construction aléatoire de vos mots de passe
  3. Conseils d'usage pour votre CMS (backup, nettoyage régulier, mise à jour, ...)
  4. protection de votre administration (double authentification, restriction à l'admin par l'usage d'un second mot de passe (.htpasswd), d'une liste blanche d'adresses IP, ...
  5. Conseils pour le choix de vos comptes phpMyAdmin (login pour les connexions base de données; permissions)
  6. Choix du bon chmod pour vos fichiers
  7. Un certain nombre d'extensions vous seront proposées (AdminTools, CrawlProtect, Watchful.li, aeSecure évidemment, EyeSite, jHackGuard, ...)
  8. Technique de lutte contre le spam
  9. sécurisation des fichiers de FileZilla, client FTP
  10. Conseils d'utilisation d'Akeeba backup
  11. Blocage de l'accès d'un pays à votre site; p.ex. interdire les connexions venant de Russie ou de Chine
  12. Quelques paramétrages à placer dans votre fichier php.ini pour accroître la sécurité
  13. Conseils d'utilisation du fichier robots.txt
  14. Et, surtout, une partie "Trop tard, votre site a été hacké, que faire?"
  15. ...

Prenez également connaissance de l'article "Votre site a été hacké, que faire?" pour obtenir un grand nombre de conseils pour localiser le hacking qui a été fait sur votre site et comment, tenter, de s'en prémunir à l'avenir.

  1. Présentation d'aeSecure
  2. Téléchargement d'aeSecure
  3. Votre site a été hacké, que faire?
Back to top