Top 10 des problèmes de sécurité Joomla (et comment les résoudre)

Les dix principaux problèmes de sécurité Joomla ... et comment les éviter

Les problèmes de sécurité Joomla sont toujours un problème brûlant :) Malheureusement, il y a des erreurs qui se répètent encore et encore, créant des problèmes de sécurité qui peuvent facilement être évités. Voici les problèmes - les problèmes de sécurité Joomla et ce que vous devez faire pour les éviter. 

Les dix principaux problèmes de sécurité Joomla et comment les résoudre

 

Contenu[Afficher]

10 problèmes de sécurité Joomla

10. Fournisseurs d'hébergement bon marché

Ne cherchez jamais le fournisseur d'hébergement le moins cher que vous puissiez trouver.

Les fournisseurs d'hébergement généralement bon marché utilisent des serveurs partagés qui hébergent des centaines d'autres sites, dont certains sont des sites de spam de faible qualité qui peuvent être facilement piratés. Comme ils sont généralement sur la même adresse IP, votre site sera lent, se trouvera dans un «mauvais quartier» avec une mauvaise réputation et pourrait être compromis si d'autres sites sont piratés.

Consultez la liste des hébergeurs recommandés et approuvés par Joomla sur ce site Web pour la qualité CollectiveRay ici.

9. Aucune sauvegarde

Assurez-vous d'avoir régulièrement Sauvegardes Joomla. Au cas où votre site serait piraté ou que quelque chose se produirait, vous pourrez le reconstruire à partir de zéro. Nous vous recommandons d'opter pour une combinaison de sauvegardes basées sur l'hébergement telles que celles proposées par InMotion (l'hôte que nous utilisons et de confiance - lien dans le paragraphe précédent), puis d'utiliser une extension tierce telle que AkeebaSauvegarde.

8. Sauter le durcissement (peaufiner les paramètres de sécurité) de PHP et sécuriser Joomla! réglages

Oublier ou sauter l'ajustement de PHP et Joomla! paramètres pour une sécurité accrue est un énorme non-non.

Il existe de nombreux petits paramètres et ajustements que vous pouvez faire pour créer votre serveur PHP et Joomla! plus sûr et empêche la plupart des problèmes de sécurité Joomla de se produire en premier lieu et évite tous les types de problèmes de sécurité.

Nous avons une liste des choses que vous devriez faire pour "durcir" votre installation plus loin dans cet article.

7. Utilisation de mots de passe faibles ou réutilisation de mots de passe

En utilisant le même nom d'utilisateur et mot de passe pour votre compte bancaire en ligne, Joomla! compte administrateur, compte Amazon, compte Yahoo, compte Gmail et partout ailleurs est une autre erreur que vous devriez éviter comme la peste.

Utilisez toujours des mots de passe forts différents de ceux de vos autres comptes.

N'oubliez pas également de toujours changer le nom du compte administrateur en quelque chose d'autre que "admin". De plus, il est fortement conseillé d'installer un plugin tel que Adminexile qui protège votre backend administrateur des tentatives de piratage.

6. Installez et oubliez

Après avoir installé votre tout nouveau magnifique site alimenté par Joomla!

Beaucoup de choses peuvent mal tourner et vous pouvez avoir toutes sortes de problèmes Joomla si vous ne maintenez pas tous les composants de vos installations Joomla.

Laissez-nous vous aider à mieux gérer votre Joomla

Joomla

Bouton ebook gratuit de conseils Joomla

5. N'ayant pas de serveur de développement

Toutes les mises à niveau et installations d'extensions doivent d'abord être essayées sur un serveur de développement, avant d'être effectuées sur le site en ligne.

Si quelque chose ne va pas sur le serveur de développement, vous pouvez éviter de créer le même problème sur le serveur et vous vous assurerez que votre site en direct reste propre. Vous pouvez utiliser des serveurs simples qui peuvent être installés localement tels que XAMPP ou MAMP.

4. Faire confiance à toutes les extensions tierces

Si vous souhaitez une sécurité Joomla optimale, vous ne devez installer que les extensions minimales minimales dont vous avez besoin.

Si vous pouvez éviter d'installer un module tiers, évitez-le. Toutes les extensions tierces ne sont pas exemptes de problèmes, et certaines sont tout simplement horribles, boguées et contiennent des vulnérabilités.

Chaque extension tierce est un autre composant qui peut vous exposer à des vulnérabilités et doit être tenue à jour. Méfiez-vous des extensions tierces que vous installez, optez de préférence pour les composants professionnels d'entreprises réputées. 

Nous n'installons généralement que les extensions des plus gros fournisseurs tels que RegularLabs, Tassos Marinos, Akeeba, etc.

3. Oublier de garder votre Joomla! site mis à jour

Après avoir installé votre tout nouveau magnifique site alimenté par Joomla!, Tenez-vous au courant de toutes les versions stables et mettez à jour avec chaque version stable.

La plupart des versions stables corrigent les problèmes et les vulnérabilités.

Oublier de mettre à niveau laissera votre site exposé à toutes sortes de problèmes Joomla. Cela s'applique également à tout tiers extensions Joomla vous installez. Il y a un moyen de gardez votre Joomla toujours à jour - vous voudrez peut-être jeter un coup d'œil ici.

Problèmes de sécurité Joomla - assurez-vous de garder joomla à jour2. Manque d'informations lors de la demande d'aide

Si votre site est piraté / craqué, accédez aux forums Joomla, et avant de commencer à publier comme un fou, assurez-vous d'avoir toutes les informations pertinentes disponibles, telles que la version de Joomla que vous avez installée, la version des extensions tierces que vous avez. installée.

Ces informations vous aideront à identifier ce qui pourrait avoir causé votre piratage, et comment le réparer et éviter qu'il ne se reproduise.

1. Réparez tout fichier fissuré et oubliez-le

Une fois votre site craqué, il ne suffit pas de réparer le fichier dégradé.

Vérifiez les journaux de votre site, changez vos anciens mots de passe, supprimez tout le répertoire et reconstruisez-le à partir de sauvegardes propres, et prenez toutes les mesures de précaution!

De graves problèmes de sécurité Joomla peuvent se reproduire si vous ne restaurez pas à partir d'une sauvegarde propre, car des portes dérobées peuvent être présentes dans votre installation, ce qui sera reactivé par les pirates une fois que vous supprimez ce que vous pensez être le seul fichier infecté.

Ceci est une version revisitée du Top XNUMX des administrateurs les plus stupides Des astuces, sans sarcasme et avec des recommandations sur la façon de résoudre les dix principaux problèmes de sécurité Joomla à la place :)

Toutes les choses à faire pour sécuriser votre site Web Joomla 

Bien que par défaut le Joomla! L'équipe de développement principale prend de grandes mesures pour s'assurer qu'il y a peu ou pas de vulnérabilités dans le code, il existe un certain nombre de paramètres qui, s'ils ne sont pas dûment pris en compte, peuvent rendre votre site Web vulnérable aux attaques.

Cet article donnera une liste de mesures à prendre pour assurer un Joomla! installation. Ce sont tous des conseils que nous utilisons sur notre propre blog de conception de sites Web, CollectiveRay, donc nous savons que ceux-ci fonctionnent bien !

1. Renommez le Joomla! compte administrateur

Cette étape simple durcit considérablement votre site Web. encore une fois si vous êtes paranoïaque, vous devez utiliser des caractères aléatoires à la fois pour le nom d'utilisateur et le mot de passe de l'administrateur

2. Assurez-vous que votre fichier configuration.php n'est pas accessible en écriture!

Cette étape est critique, et un fichier configuration.php inscriptible dans le monde entier est une invitation au piratage.

Vous pouvez rendre ce fichier non accessible en écriture depuis Joomla. C'est quelque chose que les nouvelles versions de Joomla font automatiquement, mais vous pouvez vérifier s'il y a des problèmes avec les autorisations de fichier en visitant Système> Informations système> Autorisations de dossier. Le fichier configuration.php doit être marqué comme non inscriptible.

3. Essayez toujours de garder votre installation Joomla mise à niveau vers la dernière version

Chaque mise à jour ou nouvelle version de Joomla ajoute généralement de la sécurité en fermant les failles de sécurité et les exploits, ou d'autres vulnérabilités découvertes. Si vous sautez une mise à jour, vous laissez ce «trou» ouvert dans la sécurité de votre site et vous risquez d'être piraté.

Toute mise à jour axée sur la sécurité ne doit JAMAIS être ignorée. Chaque mise à jour sera nommée «Maintenance», et corrige des bogues ou petits problèmes et «Sécurité» qui corrige généralement les vulnérabilités de sécurité. Les mises à jour de sécurité doivent être installées immédiatement car cela signifie que la vulnérabilité est maintenant connue des pirates et qu'ils commenceront immédiatement à l'exploiter.

4. Mettez à niveau vers la dernière version de PHP

Si votre hébergeur le permet, passez aux dernières versions sécurisées de PHP.

Chaque version ultérieure de PHP introduit une sécurité supplémentaire (en plus d'améliorer les performances). Malheureusement, les anciennes versions de PHP ne sont généralement pas mises à jour, même si des problèmes de sécurité sont détectés.

Cela signifie que tout problème de sécurité découvert n'aura PAS de solution et que votre site sera exposé à de tels exploits.

5. Assurez-vous que les autorisations de fichier et de dossier sont correctes

Une fois que vous avez un site stable, vous devez changer toutes les autorisations de fichiers pour les protéger en écriture à l'aide de CHMOD (644 pour les fichiers, 755 pour les répertoires).

Tout bon logiciel FTP devrait vous permettre de le faire sans avoir à utiliser de script, ou vous pouvez le faire via CPanel ou File Explorer.

Vous pouvez également utiliser la configuration globale pour appliquer les autorisations par défaut à tous les fichiers et dossiers.

Les anciennes versions de Joomla permettent le changement directement depuis l'administrateur selon les instructions ci-dessous, mais les nouvelles versions de Joomla le font automatiquement. Cependant, assurez-vous de ne pas les modifier vous-même pour résoudre un autre problème.

Accédez à l'onglet Site> Configuration globale> Serveur. Faites défiler vers le bas jusqu'à ce que vous trouviez Création de fichier. Cliquez sur CHMOD new files to 0644, et CHMOD new directory to 0755, et cliquez sur la case Apply to existing files pour exécuter ce paramètre sur tous vos fichiers actuels. Une fois que cela est fait, assurez-vous que le fichier configuration.php est toujours inscriptible. S'il est inscriptible, cliquez sur Rendre non inscriptible après l'enregistrement pour le rendre non inscriptible

Application des autorisations à l'aide du client FTP

Vous pouvez utiliser une extension telle que eXtplorer qui permet de modifier facilement les autorisations. Il vous permet de le faire de manière récursive, évitant ainsi d'avoir à parcourir chaque répertoire. Vous pouvez également utiliser des composants tels que les outils d'administration pour Joomla! par Akeeba qui peut vérifier et résoudre ces problèmes automatiquement. 

Les outils d'administration effectuent également un certain nombre d'autres correctifs de performances et de sécurité. Vérifiez-le ici.

6. Vérifiez votre site pour les vulnérabilités

Il existe un certain nombre d'outils qui testent votre Joomla pour les fichiers corrompus et les fichiers vulnérables. Ce sont généralement des testeurs de pénétration qui testent les problèmes courants.

Vous pouvez également utiliser la liste Joomla Vulnerable Extensions. Ceci est une liste en direct de toutes les extensions qui ont une vulnérabilité. De temps en temps (environ tous les mois), vous devriez vérifier la dernière liste pour vous assurer qu'aucune de vos extensions Joomla actuelles ne figure dans la liste.

Si l'une de vos extensions figure sur cette liste, assurez-vous de la mettre à jour avec la dernière version sécurisée (corrigée).

7. Ne laissez jamais de fichiers supplémentaires en cours d'exécution

Assurez-vous qu'il n'y a pas de fichiers inutiles sur votre serveur Web.

Supprimez tous les fichiers restants de l'installation. Supprimer votre installation dossier et tous les fichiers compressés que vous avez peut-être téléchargés sur votre serveur Web pour installer Joomla! coeur. Supprimez tous les composants / modules / modèles que vous n'utilisez pas.

Gardez toujours votre site aussi mince que possible. Tout fichier supplémentaire pourrait devenir une responsabilité. 

8. Protégez vos fichiers de configuration et vos répertoires sensibles

  • Tous les fichiers de configuration ne doivent pas être placés dans le répertoire HTML public. Certains hébergeurs Web (par exemple GoDaddy) peuvent ne pas vous autoriser à le faire, donc la meilleure chose à faire est de créer un répertoire protégé par mot de passe en utilisant un fichier .htaccess. Si vous n'êtes pas sûr de la fonction du fichier htaccess, c'est une bonne idée de le lire avant de continuer. Créez un répertoire, c'est une bonne idée de lui donner un nom aléatoire, par exemple ehxum3jq plutôt que config dans votre Joomla! annuaire.
  • Créez un fichier .htaccess pour protéger le répertoire. Utilisez un générateur .htaccess pour vous aider à générer le fichier. Sur la base de l'exemple ci-dessus, vous devriez avoir un fichier .htaccess similaire à sur ce. N'oubliez pas que le répertoire que vous souhaitez protéger est le répertoire de base (si vous n'êtes pas sûr de pouvoir le trouver dans le chemin absolu de votre fichier configuration.php d'origine) et en ajoutant le nom du répertoire, vous placerez vos fichiers protégés par exemple dans / home / content / a / b / c / abccompany / html / ehxum3jq /
  • NB: Cela donne uniquement une authentification de base qui n'offre pas une sécurité rigoureuse. Dans les mots d'Apache.org:

L'authentification de base ne doit pas être considérée comme sécurisée pour une définition particulièrement rigoureuse de la sécurité.

Bien que le mot de passe soit stocké sur le serveur dans un format crypté, il est transmis du client au serveur en texte brut sur le réseau. Quiconque écoute avec n'importe quelle variété de renifleurs de paquets pourra lire le nom d'utilisateur et le mot de passe en clair au fur et à mesure qu'ils traversent.

Paramètre de création de fichier .htaccess

Fichier .htaccess et .htpasswd générés

Pour vraiment offrir une sécurité, vous devez envoyer le mot de passe via SSL (où il serait crypté en cours de route).

  • Utilisez des mots de passe forts ou des phrases de passe ou des caractères aléatoires pour le fichier .htpasswd qui devrait ressembler à quelque chose comme sur ce. Vous pouvez protéger encore plus votre répertoire en utilisant les adresses IP dans le fichier .htaccess comme indiqué dans cette FAQ
  • Testez pour vous assurer que le répertoire est protégé. Mettez-y un fichier et essayez d'accéder par exemple à https://www.yourcompany.com/ehxum3jq/myfile.txt. Vous devriez être invité à entrer un mot de passe. Fournir le nom d'utilisateur et le mot de passe spécifiés lors de la génération devrait vous accorder l'accès au fichier, sinon, vous devriez obtenir une erreur 401 (Accès refusé).

Fenêtre d'authentification de base

  • Utilisez le suivant FAQ du forum Joomla pour vous aider à déplacer les fichiers de configuration du HTML public vers le répertoire protégé par mot de passe que vous avez créé. Soyez très prudent lorsque vous mettez à jour le fichier de configuration globale, car cela écrasera le fichier que vous avez créé. Protégez en écriture le fichier configuration.php, et toutes les modifications dont vous avez besoin, faites-les manuellement à l'aide d'un client FTP. Et ajoutez la ligne suivante afin que quiconque tente d'accéder au fichier php reçoive une erreur "Accès restreint". En règle générale, tous les fichiers PHP de votre site Web doivent contenir cette ligne. Tout fichier PHP qui ne contient pas cette ligne est un risque de sécurité.

 

défini ('_ JEXEC') ou mourir;

défini ('_VALID_MOS') ou die ('Accès restreint'); // pour les anciennes versions de Joomla

 

9. Gardez les extensions tierces à jour

Les extensions tierces sont l'une des meilleures choses à propos de Joomla!

Il existe une telle variété d'extensions que vous pouvez probablement trouver quelque chose de déjà écrit pour vous. Cependant, les extensions de fête 3D sont de toutes formes et tailles et ne sont pas surveillées par l'équipe principale.

Cela signifie qu'il existe une vulnérabilité qui peut compromettre votre installation. Vous devez être extrêmement prudent lors de l'installation des extensions. Surveillez la liste des extensions tierces / non-Joomla vulnérables. Si vous installez des extensions, assurez-vous de surveiller leurs versions et de suivre leurs recommandations de sécurité.

Pour plus d'informations, allez à la Joomla! FAQ sur la sécurité.

10. Sauvegarde! Sauvegarde! Sauvegarde!

Même si vous avez pris TOUTES les mesures pour vous assurer que votre site Web est 100% sécurisé, des vulnérabilités peuvent toujours se cacher, en attente d'être trouvées et exploitées. Si votre site est piraté, vous DEVEZ vous assurer qu'il revient en ligne dès que possible avec le moins de perte de contenu possible. Pour cela, vous devez vous assurer que vous disposez de bonnes sauvegardes (quotidiennes ou plus fréquentes selon le besoin).

AkeebaBackup est un composant open-source pour le Joomla! CMS qui permet des sauvegardes complètes du site (fichiers et base de données). Il vous permet de créer des sauvegardes complètes et dispose de toutes les fonctionnalités pour restaurer votre site si les choses se gâtent.

D'autres conseils de sécurité Joomla?

C'est pour le moment. Si vous avez d'autres suggestions de sécurité Joomla, nous serions ravis de les entendre dans les commentaires ci-dessous.

À propos de l’auteure
David Attard
Auteur: David AttardSite Web : https://www.linkedin.com/in/dattard/
David travaille dans ou autour de l'industrie en ligne / numérique depuis 18 ans. Il possède une vaste expérience dans les industries du logiciel et de la conception Web utilisant WordPress, Joomla et les niches qui les entourent. En tant que consultant numérique, son objectif est d'aider les entreprises à obtenir un avantage concurrentiel en utilisant une combinaison de leur site Web et des plates-formes numériques disponibles aujourd'hui.

Encore une chose ... Saviez-vous que les personnes qui partagent des informations utiles comme cet article ont l'air géniales aussi? ;-)
Si vous voulez, vous pouvez laisser un incontournable commentez vos pensées, puis partagez-les sur votre ou vos groupes Facebook qui trouveraient cela utile et récoltons ensemble les avantages. Merci d'avoir partagé et d'être gentil!

Divulgation: Cette page peut contenir des liens vers des sites externes pour des produits que nous aimons et que nous recommandons sans réserve. Si vous achetez des produits que nous suggérons, nous pouvons percevoir des frais de parrainage. Ces frais n'influencent pas nos recommandations et nous n'acceptons pas les paiements pour les avis positifs.

 

qui sommes nous?

CollectiveRay est dirigé par David Attard - travaillant dans et autour du créneau de la conception de sites Web depuis plus de 12 ans, nous fournissons des conseils pratiques aux personnes qui travaillent avec et sur des sites Web. Nous gérons également DronesBuy.net - un site Web pour les amateurs de drones.

David Attard

 

 

Auteur (s) présenté sur:  Logo du magazine Inc   Logo Sitepoint   Logo CSS Tricks    logo webdesignerdepot   Logo WPMU DEV   et beaucoup plus ...