Ce document fournit des recommandations pour sécuriser un site Joomla, incluant des stratégies telles que des sauvegardes régulières, la modification des préfixes de base de données et l'utilisation de mots de passe robustes. Il met également en avant l'importance de la mise à jour des extensions et le recours à des connexions sécurisées via SSH ou SFTP. Enfin, il conseille de réduire les risques en évitant d'installer des extensions non vérifiées et en appliquant de bonnes pratiques de sécurité.

1. Base pour la sécurité d'un site Joomla !
Joomsession
En
Côte d'Ivoire
Auteur : Wilfried NGuessan
Twitter: @wilfriedn @aveclelibre
info@aveclelibre.info
http://www.aveclelibre.info

2. SOMMAIRE
1 Sécuriser son site Joomla
2 Sauvegardes régulières de votre site
3 Préfixes de votre base de données
4 Permissions sur les fichiers et répertoires
5 Changez votre identifiant admin
6 Gérez bien vos mots de passe
7 Transfert SSH (ou SFTP) au lieu du FTP
8 Mettez à jour votre site Joomla & Extension
9 N'installez pas n'importe quelle extension
10 Bonne Pratique !

3. Sécuriser son site Joomla
Procédez-vous même régulièrement à un export de votre
base de données. Faites également des sauvegardes de
l'intégralité vos fichiers : fichiers PHP, fichiers CSS,
images, fichiers JS (JavaScript), documents etc.

4. Sauvegardes régulières de votre site
Procédez-vous même régulièrement à un export de votre
base de données. Faites également des sauvegardes de
l'intégralité vos fichiers : fichiers PHP, fichiers CSS,
images, fichiers JS (JavaScript), documents etc.
https://www.akeebabackup.com/download.html

5. Préfixes de votre base de données
L'une des recommandations officielles des créateurs de
Joomla est de changer les préfixes de votre base de
données, qui sont les mêmes sur chaque site Joomla, et
donc connus de tous. Sur votre site Joomla, les préfixes
de votre table peuvent se changer
dans la Configuration du site.
https://www.akeebabackup.com/download.html

6. Permissions sur les fichiers et répertoires
Les répertoires et fichiers de votre site sont soumis à
des permissions qui permettent certaines actions :
lecture, édition, suppression (voir
l'entrée Wikipédia sur le CHMOD).
En interdisant par exemple l'écriture de certains
fichiers, vous les protégez. Choisissez les bons
paramètres de permission, en excluant si possible le
777. Dans l'idéal, les fichiers devraient être sur 644,
et les répertoires 755.

7. Changez votre identifiant admin & /Administrator
Plugins :
www.Joomla.org
Jsecure
Sentinel
Au moment de l'installation de Joomla, le site attribue
automatiquement l'identifiant admin au propriétaire du site. C'est
l'identifiant d'un compte Super Administrateur, qui a donc
tous les droits sur le site.
Il est donc conseillé de changer rapidement cet identifiant, et de
lui préférer un terme moins immédiatement identifiable. La
première chose que va tenter une personne mal intentionnée, si
elle s'aperçoit que votre site est un Joomla, est d'ajouter
/administrator/ à la suite de l'adresse de votre site, puis d'entrer
admin dans le champ identifiant. Si il ne lui reste que le mot de
passe à deviner, elle a déjà fait la moitié du travail.

8. Gérez bien vos mots de passe
Comme vous le savez, le choix de vos mots de passe est capital. L'utilisation du
pluriel n'est pas innocente : ne choisissez pas le même mot de passe pour tous vos
comptes, que cela soit vos comptes mail, vos comptes boutiques, vos comptes
publics sur des sites ou des forums, ou encore vos comptes administration (FTP,
admin Joomla). Et si la gestion de mots de passe multiples n'est un plaisir pour
personne, aidez-vous de logiciel type comme Roboform pour vous assister dans cette
tâche fastidieuse.
Ne notez pas la liste de vos mots de passe dans un fichier texte placé sur le bureau,
n'enregistrez pas tous vos mots de passe dans les navigateurs, bref, ne pensez pas
avoir sécurisé l'accès à votre site en choisissant un mot de passe compliqué que vous
laissez traîner à portée de tout le monde, y compris de manière physique (post it
scotché à l'écran).
Ce qui renforce la sécurité d'un mot de passe est à la fois sa longueur et son côté
aléatoire : mélange de majuscules et de minuscules, de chiffres. Evitez les prénoms,
les dates de naissance, les mots facilement identifiables. Pour générer un mot de
passez efficace, aidez-vous de ce genre de site.
http://www.henri-ruch.ch/Utilitaires/generateurMP/generateurMP.asp

9. Transfert SSH (ou SFTP) au lieu du FTP
Le FTP (ou protocole de transfert de fichiers) est un moyen
efficace de déplacer des fichiers (envoi ou téléchargement)
vers son serveur. Dans la mesure du possible, choisissez de
vous connectez à votre serveur en SSH (ou SFTP), c'est à
dire en FTP sécurisé. Voyez avec votre hébergeur ou votre
prestataire les moyens d'obtenir un accès SSH, et configurer
votre logiciel client de la bonne manière au moment de vous
connecter.

10. Mettez à jour votre site Joomla & Extension
Comme Joomla, les (bonnes) extensions évoluent : corrections
de bugs et de failles de sécurité, améliorations, nouvelles
fonctionnalités. Pensez donc à mettre à jour vos composants,
vos modules, ou vos plug-ins, et à vous tenir informés de leurs
évolutions.

11. N'installez pas n'importe quelle extension
http://docs.joomla.org/Vulnerable_Extensions_List

12. Bonne Pratique !
Limitez autant que possible l'utilisation des iFrames.
Ne copiez-collez pas de texte provenant d'un autre site
dans vos articles sans nettoyer le code.
Sauvegarde Régulières
Un bon Htacces