Joomlapero  – 29 novembre 2011 .:: La sécurité des sites Joomla ::. Comment l'aborder, les points essentiels
Sécurité web - Généralités <ul><li>Les biens les plus précieux d’un site web :  </li></ul><ul><ul><li>ses contenus (articl...
Sécurité - Généralités <ul><li>Les risques peuvent venir de l’extérieur (pirate, virus, hacker…) </li></ul><ul><li>Mais bi...
Sécurité - Généralités <ul><li>Origine des risques : </li></ul><ul><li>Attaque malveillante </li></ul><ul><li>Panne matéri...
Sécurité - Généralités <ul><li>Se protéger doit devenir un réflexe </li></ul><ul><li>Toutes les personnes qui gèrent le si...
Sécurité - Généralités <ul><li>On compare souvent la sécurité à une chaîne :  Le niveau de sécurité d'un système est carac...
Sécurité matérielle <ul><li>Sécurité physique des machines </li></ul><ul><ul><li>Attention au choix de l’hébergeur </li></...
Sécurité logicielle <ul><li>En local </li></ul><ul><li>Sur le serveur </li></ul>Joomlapero – 29 novembre 2011
Accès FTP sécurisés <ul><li>Si votre hébergeur le permet, utilisez une connexion FTP sécurisée (sftp) </li></ul><ul><ul><l...
Configurez les permissions <ul><li>Objectif : empêcher des modifications du code de Joomla par des personnes non autorisée...
Installation et sécurisation <ul><li>Installer Joomla normalement (utiliser un préfixe différents de jos_ pour les noms de...
Les mots de passe  <ul><li>Un bon mot de passe est un mot de passe fort, qui sera difficile à retrouver même à l'aide d'ou...
Sauvegarde et externalisation <ul><li>Les sauvegardes permettent de retrouver des données malgré les risques : </li></ul><...
Sauvegarde et externalisation <ul><li>La sauvegarde peut être effectuée : </li></ul><ul><ul><li>Avec une extension spécifi...
Sécurité du code <ul><li>Pensez à  mettre à jour  vos systèmes sur serveurs dédiés </li></ul><ul><li>Suivez  et appliquez ...
Les extensions Joomla <ul><li>Choisir des extensions fiables (facile à dire) </li></ul><ul><ul><li>Ne pas installer des ex...
La réécriture d’URL en mode SEF <ul><li>Optimise la visibilité du site dans les moteurs de recherche </li></ul><ul><li>Amé...
Pour résumer… <ul><li>S’équiper des bons outils et les mettre à jour </li></ul><ul><li>Avoir un système de sauvegarde </li...
Prochain SlideShare
Chargement dans…5
×

Sécurité Web - Les bonnes pratiques pour Joomla

1 591 vues

Publié le

Présentation généraliste de la sécurité des sites web, et focus sur les bonnes pratiques de sécurité pour les sites réalisés avec le CMS Joomla

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 591
Sur SlideShare
0
Issues des intégrations
0
Intégrations
48
Actions
Partages
0
Téléchargements
62
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Dans 70% des cas, le cyberdélinquant est un salarié ou un ancien salarié de l’entreprise Exemple récent du piratage de le pen : http://lexpress.presse.fr/info/france/elysee_2007/actu.asp?id=9590
  • Mise en cause de la responsabilité légale du chef d’entreprise : voir p. 40
  • Sécurité physique :Antivol des portables, salles réservées (ou placard) aux serveurs
  • Un bon mot de passe est un mot de passe fort, qui sera donc difficile à retrouver même à l&apos;aide d&apos;outils automatisés mais facile à retenir. En effet, si un mot de passe est trop compliqué à retenir, l&apos;utilisateur mettra en place des moyens mettant en danger la sécurité du SI, comme par exemple l&apos;inscription du mot de passe sur un papier collé sur l&apos;écran ou sous le clavier où l&apos;utilisateur doit s&apos;authentifier. Pour ce faire, il existe des moyens mnémotechniques pour fabriquer et retenir des mots de passe forts. Méthode phonétique Cette méthode consiste à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir. Par exemple la phrase « J&apos;ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am. Méthode des premières lettres Cette méthode consiste à garder les premières lettres d&apos;une phrase (citation, paroles de chanson...) en veillant à ne pas utiliser que des minuscules. Par exemple, la citation « un tiens vaut mieux que deux tu l&apos;auras » donnera 1tvmQ2tl&apos;A.
  • Evoquer le RAID ?
  • Le ver peut entrer dans l&apos;ordinateur en se camouflant, y rester longtemps puis ne se déclencher qu&apos;à un moment donné. Le plus souvent la diffusion de ver se fait par la messagerie électronique. L&apos;ordinateur infecté envoie automatiquement un mail à toutes les adresses de votre messagerie à votre insu.
  • Sécurité Web - Les bonnes pratiques pour Joomla

    1. 1. Joomlapero – 29 novembre 2011 .:: La sécurité des sites Joomla ::. Comment l'aborder, les points essentiels
    2. 2. Sécurité web - Généralités <ul><li>Les biens les plus précieux d’un site web : </li></ul><ul><ul><li>ses contenus (articles, commentaires…) </li></ul></ul><ul><ul><li>ses fichiers originaux (sons, photos, vidéos) </li></ul></ul><ul><ul><li>sa base membres/clients </li></ul></ul><ul><li>Le « but du jeu » est de garder le site en ligne et de conserver l’intégrité des données… </li></ul>Joomlapero – 29 novembre 2011
    3. 3. Sécurité - Généralités <ul><li>Les risques peuvent venir de l’extérieur (pirate, virus, hacker…) </li></ul><ul><li>Mais bien souvent le risque est interne ! </li></ul><ul><li>La faute qui provoque la faille n’est pas forcément volontaire </li></ul>Joomlapero – 29 novembre 2011
    4. 4. Sécurité - Généralités <ul><li>Origine des risques : </li></ul><ul><li>Attaque malveillante </li></ul><ul><li>Panne matérielle </li></ul><ul><li>Panne logicielle </li></ul><ul><li>Incident de l’environnement (feu, inondation, orage…) </li></ul><ul><li>Erreur humaine </li></ul>Joomlapero – 29 novembre 2011
    5. 5. Sécurité - Généralités <ul><li>Se protéger doit devenir un réflexe </li></ul><ul><li>Toutes les personnes qui gèrent le site doivent y être sensibilisées </li></ul><ul><li>La responsabilité du chef d’entreprise ou du directeur de publication peut être engagée pénalement ou civilement Art. 226-17 du code pénal (pour les données personnelles) et 1383 du code civil (responsable par négligence ou imprudence…) (entre autres…) </li></ul>Joomlapero – 29 novembre 2011
    6. 6. Sécurité - Généralités <ul><li>On compare souvent la sécurité à une chaîne : Le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible . </li></ul>Joomlapero – 29 novembre 2011
    7. 7. Sécurité matérielle <ul><li>Sécurité physique des machines </li></ul><ul><ul><li>Attention au choix de l’hébergeur </li></ul></ul><ul><li>Sauvegardes des données </li></ul>Joomlapero – 29 novembre 2011
    8. 8. Sécurité logicielle <ul><li>En local </li></ul><ul><li>Sur le serveur </li></ul>Joomlapero – 29 novembre 2011
    9. 9. Accès FTP sécurisés <ul><li>Si votre hébergeur le permet, utilisez une connexion FTP sécurisée (sftp) </li></ul><ul><ul><li>Les communications sont cryptées entre votre PC et votre serveur </li></ul></ul><ul><ul><li>Les sniff sont inefficaces ! </li></ul></ul><ul><li>Ne donnez pas les codes FTP principaux à tous les intervenants </li></ul><ul><ul><li>Limitez les accès aux répertoires de travail réels </li></ul></ul><ul><ul><li>Seuls les super admins ont besoin des accès complets </li></ul></ul>Joomlapero – 29 novembre 2011
    10. 10. Configurez les permissions <ul><li>Objectif : empêcher des modifications du code de Joomla par des personnes non autorisées </li></ul><ul><li>Préconisations pour une install standard de Joomla : </li></ul><ul><ul><li>Répertoire racine : 750 </li></ul></ul><ul><ul><li>Fichiers : 644 </li></ul></ul><ul><ul><li>Répertoires : 755 </li></ul></ul>Joomlapero – 29 novembre 2011
    11. 11. Installation et sécurisation <ul><li>Installer Joomla normalement (utiliser un préfixe différents de jos_ pour les noms des tables de la base de données) </li></ul><ul><li>Remplacer le superadmin par défaut (admin) </li></ul><ul><li>Déplacer les fichiers sensibles hors de la racine du site web </li></ul><ul><li>Utiliser JSecure (9,99$) ou Secure Authentication (gratuit) pour modifier l’url d’accès à l’administration </li></ul><ul><li>Mettre en place une procédure de sauvegarde. </li></ul>Joomlapero – 29 novembre 2011
    12. 12. Les mots de passe <ul><li>Un bon mot de passe est un mot de passe fort, qui sera difficile à retrouver même à l'aide d'outils automatisés mais facile à retenir. </li></ul><ul><li>Pour s’amuser un peu… </li></ul><ul><ul><li>Méthode phonétique Exemple « J'ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am. </li></ul></ul><ul><ul><li>Méthode des premières lettres Exemple, la citation « un tiens vaut mieux que deux tu l'auras » donnera 1tvmQ2tl'A. </li></ul></ul><ul><li>A tester : How secure is my password ? </li></ul>Joomlapero – 29 novembre 2011
    13. 13. Sauvegarde et externalisation <ul><li>Les sauvegardes permettent de retrouver des données malgré les risques : </li></ul><ul><ul><li>Effacement malencontreux de données </li></ul></ul><ul><ul><li>Bug sur mise à jour </li></ul></ul><ul><ul><li>Attaque </li></ul></ul><ul><li>Les fichiers ET la base de données de Joomla doivent être sauvegardées </li></ul>Joomlapero – 29 novembre 2011
    14. 14. Sauvegarde et externalisation <ul><li>La sauvegarde peut être effectuée : </li></ul><ul><ul><li>Avec une extension spécifique (akeeba backup) </li></ul></ul><ul><ul><li>Via ftp et phpmyadmin </li></ul></ul><ul><li>La sauvegarde doit être régulière, la fréquence dépend des actualisations réalisées sur le site </li></ul><ul><li>La restauration des données doit être testée </li></ul>Joomlapero – 29 novembre 2011
    15. 15. Sécurité du code <ul><li>Pensez à mettre à jour vos systèmes sur serveurs dédiés </li></ul><ul><li>Suivez et appliquez les mises à jours de Joomla </li></ul><ul><li>Idem pour les extensions : pensez aux mises à jour ! </li></ul><ul><li>Consultez la liste des vulnérabilités http://docs.joomla.org/Vulnerable_Extensions_List </li></ul><ul><li>Abonnez vous aux flux RSS de sécurité de Joomla : </li></ul><ul><ul><li>Joomla </li></ul></ul><ul><ul><li>Extensions </li></ul></ul>Joomlapero – 29 novembre 2011
    16. 16. Les extensions Joomla <ul><li>Choisir des extensions fiables (facile à dire) </li></ul><ul><ul><li>Ne pas installer des extensions non suivies </li></ul></ul><ul><ul><li>Installer des versions stables (pas beta ou alpha) </li></ul></ul><ul><ul><li>Regarder l’historique des MAJ de l’extension (nb de correctifs, nb de bugs) </li></ul></ul><ul><ul><li>Voir la communauté autour de l’extension </li></ul></ul><ul><li>Attention à l’utilisation d’extension piratées </li></ul><ul><ul><li>Risque de codes malicieux </li></ul></ul><ul><ul><li>Ouverture de backdoor sur le site </li></ul></ul><ul><ul><li>Pas de solution logicielle comme sur un PC </li></ul></ul>Joomlapero – 29 novembre 2011
    17. 17. La réécriture d’URL en mode SEF <ul><li>Optimise la visibilité du site dans les moteurs de recherche </li></ul><ul><li>Améliore la sécurité par la dissimulation des noms des extensions utilisées </li></ul><ul><li>L’extension sh404SEF apporte ces réponses mais aussi : </li></ul><ul><ul><li>permet de désactiver la balise meta « generator » </li></ul></ul><ul><ul><li>permet de filtrer les adresses IP autorisées à se connecter au site </li></ul></ul><ul><ul><li>est muni d’un bouclier contre plusieurs types d’attaques </li></ul></ul>Joomlapero – 29 novembre 2011
    18. 18. Pour résumer… <ul><li>S’équiper des bons outils et les mettre à jour </li></ul><ul><li>Avoir un système de sauvegarde </li></ul><ul><li>Utiliser des identifiants complexes </li></ul><ul><li>Utiliser les extensions officielles </li></ul><ul><li>Se maintenir informé des risques de sécurité </li></ul>Joomlapero – 29 novembre 2011 Et comme dit l’autre : &quot;mieux vaut prévenir que guérir&quot;

    ×