10 bonnes pratiques pour sécuriser et renforcer un site web Joomla

La protection de votre site web est essentielle à la disponibilité et aux activités de votre entreprise en ligne.

La sécurité sur l’internet est un défi qui évolue rapidement, et il faut toujours garder un œil sur les menaces en ligne découvertes presque chaque semaine. Il se peut que vous n’ayez pas à le faire manuellement, mais vous pouvez effectuer une analyse de sécurité régulière de votre site web.

La sécurité parfaite n’existe pas, mais vous pouvez faire de votre mieux pour les sécuriser.

Joomla est le deuxième CMS le plus téléchargé, plus de 110 millions de fois, et les dernières recherches de SUCURI révèlent une deuxième plateforme de site web infectée.

La plupart des sites web sont piratés en raison d’une mauvaise configuration, d’un hébergement de mauvaise qualité ou d’un code vulnérable. Les pratiques suivantes vous aideront à renforcer la sécurité de Joomla.

Sécurisez le login de l’administrateur avec un mot de passe fort

Ne laissez pas le compte administrateur par défaut comme “admin” avec un mauvais mot de passe ; c’est probablement le plus grand risque dans Joomla. En conservant le compte “admin” par défaut et des mots de passe devinables, vous aidez les pirates à faire leur travail.

Solution :

Changez le login administrateur par défaut “admin” par quelque chose d’autre, qui n’est pas facilement devinable.

Utilisez un gestionnaire de mots de passe pour générer des chaînes de mots de passe longues et complexes. Évitez de conserver des mots de passe contenant votre nom ou le nom du site. Vous pouvez préférer utiliser le générateur de mot de passe sécurisé.

Faites des sauvegardes régulières de Joomla

La sauvegarde est votre amie et une bouée de sauvetage. Lorsque les choses tournent mal, la sauvegarde est probablement l’un des moyens les plus rapides de rétablir les activités de votre entreprise en ligne.

Solution :

Hébergez votre site web chez un hébergeur fiable, qui propose un excellent plan de sauvegarde comme SiteGround. SiteGround est l’un des meilleurs fournisseurs d’hébergement qui propose une sauvegarde quotidienne gratuite. En plus de la sauvegarde de l’hébergement, utilisez une extension comme Akeeba backup.

Utilisez la clé secrète pour vous connecter à Joomla Admin.

Cachez votre backend d’administrateur des pirates potentiels et permettez à ceux qui ont une URL secrète d’accéder à la zone d’administration.

Solution :

Utilisez une extension de protection de connexion comme AdminExile qui vous aide à ajouter une clé secrète. Cela signifie qu’à chaque fois que vous avez besoin d’accéder à la page de connexion de l’administrateur, vous devez entrer la clé secrète après l’administrateur.

Ex : exemple.com/administrateur?testing

testing est la clé secrète ici. Si vous n’utilisez pas cette clé, vous serez redirigé vers la page d’accueil. C’est pas cool ?

Utilisez la dernière version de Joomla et de ses extensions.

La plupart des propriétaires de sites web ne passent pas à la version la plus récente, ce qui constitue un risque important. Presque à chaque version, vous remarquerez des correctifs de sécurité, donc ne pas passer à la dernière version signifie garder votre site web vulnérable.

La solution :

Consultez la liste des extensions vulnérables fournie par Joomla et mettez à jour l’ancienne extension. Examinez le journal des modifications à chaque nouvelle version de Joomla et mettez-la à jour si vous constatez des corrections critiques.

Surveillez votre site Joomla

Comment savoir si votre site web est en panne ou défiguré? Recevez une notification par email, Slack ou SMS lorsque votre site web n’est pas accessible afin que vous puissiez prendre les mesures nécessaires immédiatement.

Solution :

Utilisez un outil GRATUIT comme StatusCake, qui surveille votre site web et vous avertit lorsqu’il tombe en panne. Il en existe beaucoup d’autres qui font un travail similaire, que j’ai mentionnés ici.

Activez la fonction “Search Engine Friendly” (SEF)

Le SEF rend les URL de votre site web Joomla plus favorables aux moteurs de recherche. Un bon composant SEF offre également des avantages en termes de sécurité. Un composant SEF masque ces informations et rend plus difficile pour un pirate de trouver d’éventuelles failles de sécurité.

Solution :

Activez les URL adaptées aux moteurs de recherche dans la zone d’administration de Joomla.

Connectez-vous à l’administration de Joomla
Cliquez sur Site>>Configuration générale
Dans l’onglet Site, sélectionnez “Oui” à côté de Search Engine Friendly URLs

Supprimez les extensions non désirées et évitez les développeurs non identifiés

Joomla est un logiciel libre, et en tant qu’administrateur, vous installez de nombreux modules pour tester de nouvelles fonctionnalités. C’est bien d’essayer et d’améliorer, mais c’est mal de ne pas connaître le développeur avec lequel vous installez un module. Supprimez les extensions que vous n’allez pas utiliser.

Utilisez les extensions de sécurité

Utilisez des extensions pour lutter contre le spam, la force brute, l’authentification à deux facteurs et les vulnérabilités connues. Il en existe de nombreuses, et j’en ai listé quelques-unes parmi les meilleures ici.

Veillez à ce que les autorisations des fichiers/dossiers soient appropriées.

Tous les fichiers doivent avoir une configuration CHMOD appropriée. De préférence,

Fichiers PHP – 644

Fichiers de configuration – 644

Autres dossiers – 755

Utiliser le Web Application Firewall

Le Web Application Firewall (WAF) est essentiel pour tout site web afin de le protéger contre les failles de sécurité OWASP 10, les vulnérabilités connues et les logiciels malveillants.

Si vous hébergez votre site Joomla sur un cloud VM, vous pouvez utiliser ModSecurity, qui est gratuit. Cependant, si vous êtes sur un hébergement partagé ou si vous n’avez pas le temps, vous pouvez envisager un WAF basé sur le cloud comme Sucuri ou Astra.

L’utilisation d’un WAF vous aidera dans les domaines suivants.

Protection contre les robots
Protection contre les connexions
Protection contre les portes dérobées
Protection contre les DDoS
Injection SQL
Attaque XSS
Vulnérabilités spécifiques à Joomla
Attaque par force brute
Protection DDoS de niveau 7
et bien plus encore…

Si vous suivez ces étapes, il y a de fortes chances que votre site web Joomla soit plus sûr.

Chandan Kumar
Contributeur
- LinkedIn
Chandan Kumar is a technology enthusiast and entrepreneur who is passionate about helping businesses and individuals around the world. As the founder of Geekflare, Chandan has created valuable content and resources for businesses and individuals around the world.

Chandan’s expertise spans many technological domains, including cybersecurity, cloud computing, artificial intelligence, IT infrastructure, and DevOps. His insights and advice have helped organizations like BNP Paribas, Citibank, Deutsche Bank, Motorola navigate the ever-evolving digital landscape and achieve their strategic goals.

Beyond his technical prowess, Chandan believes strongly in the importance of education and knowledge sharing. His dedication to technology and education has earned him recognition as a thought leader in the industry. He wants to travel the world and help professionals and businesses grow.

Expertise: Business Growth, Business Software, Digital Growth, Cybersecurity, Artificial Intelligence, IT Infrastructure
Education: MBA in International Business from Arcadia University