La protection de votre site web est essentielle à la disponibilité et aux activités de votre entreprise en ligne.
La sécurité sur l’internet est un défi qui évolue rapidement, et il faut toujours garder un œil sur les menaces en ligne découvertes presque chaque semaine. Il se peut que vous n’ayez pas à le faire manuellement, mais vous pouvez effectuer une analyse de sécurité régulière de votre site web.
La sécurité parfaite n’existe pas, mais vous pouvez faire de votre mieux pour les sécuriser.
Joomla est le deuxième CMS le plus téléchargé, plus de 110 millions de fois, et les dernières recherches de SUCURI révèlent une deuxième plateforme de site web infectée.
La plupart des sites web sont piratés en raison d’une mauvaise configuration, d’un hébergement de mauvaise qualité ou d’un code vulnérable. Les pratiques suivantes vous aideront à renforcer la sécurité de Joomla.
Sécurisez le login de l’administrateur avec un mot de passe fort
Ne laissez pas le compte administrateur par défaut comme “admin” avec un mauvais mot de passe ; c’est probablement le plus grand risque dans Joomla. En conservant le compte “admin” par défaut et des mots de passe devinables, vous aidez les pirates à faire leur travail.
Solution :
Changez le login administrateur par défaut “admin” par quelque chose d’autre, qui n’est pas facilement devinable.
Utilisez un gestionnaire de mots de passe pour générer des chaînes de mots de passe longues et complexes. Évitez de conserver des mots de passe contenant votre nom ou le nom du site. Vous pouvez préférer utiliser le générateur de mot de passe sécurisé.
Faites des sauvegardes régulières de Joomla
La sauvegarde est votre amie et une bouée de sauvetage. Lorsque les choses tournent mal, la sauvegarde est probablement l’un des moyens les plus rapides de rétablir les activités de votre entreprise en ligne.
Solution :
Hébergez votre site web chez un hébergeur fiable, qui propose un excellent plan de sauvegarde comme SiteGround. SiteGround est l’un des meilleurs fournisseurs d’hébergement qui propose une sauvegarde quotidienne gratuite. En plus de la sauvegarde de l’hébergement, utilisez une extension comme Akeeba backup.
Utilisez la clé secrète pour vous connecter à Joomla Admin.
Cachez votre backend d’administrateur des pirates potentiels et permettez à ceux qui ont une URL secrète d’accéder à la zone d’administration.
Solution :
Utilisez une extension de protection de connexion comme AdminExile qui vous aide à ajouter une clé secrète. Cela signifie qu’à chaque fois que vous avez besoin d’accéder à la page de connexion de l’administrateur, vous devez entrer la clé secrète après l’administrateur.
Ex : exemple.com/administrateur?testing
testing est la clé secrète ici. Si vous n’utilisez pas cette clé, vous serez redirigé vers la page d’accueil. C’est pas cool ?
Utilisez la dernière version de Joomla et de ses extensions.
La plupart des propriétaires de sites web ne passent pas à la version la plus récente, ce qui constitue un risque important. Presque à chaque version, vous remarquerez des correctifs de sécurité, donc ne pas passer à la dernière version signifie garder votre site web vulnérable.
La solution :
Consultez la liste des extensions vulnérables fournie par Joomla et mettez à jour l’ancienne extension. Examinez le journal des modifications à chaque nouvelle version de Joomla et mettez-la à jour si vous constatez des corrections critiques.
Surveillez votre site Joomla
Comment savoir si votre site web est en panne ou défiguré? Recevez une notification par email, Slack ou SMS lorsque votre site web n’est pas accessible afin que vous puissiez prendre les mesures nécessaires immédiatement.
Solution :
Utilisez un outil GRATUIT comme StatusCake, qui surveille votre site web et vous avertit lorsqu’il tombe en panne. Il en existe beaucoup d’autres qui font un travail similaire, que j’ai mentionnés ici.
Activez la fonction “Search Engine Friendly” (SEF)
Le SEF rend les URL de votre site web Joomla plus favorables aux moteurs de recherche. Un bon composant SEF offre également des avantages en termes de sécurité. Un composant SEF masque ces informations et rend plus difficile pour un pirate de trouver d’éventuelles failles de sécurité.
Solution :
Activez les URL adaptées aux moteurs de recherche dans la zone d’administration de Joomla.
- Connectez-vous à l’administration de Joomla
- Cliquez sur Site>>Configuration générale
- Dans l’onglet Site, sélectionnez “Oui” à côté de Search Engine Friendly URLs
Supprimez les extensions non désirées et évitez les développeurs non identifiés
Joomla est un logiciel libre, et en tant qu’administrateur, vous installez de nombreux modules pour tester de nouvelles fonctionnalités. C’est bien d’essayer et d’améliorer, mais c’est mal de ne pas connaître le développeur avec lequel vous installez un module. Supprimez les extensions que vous n’allez pas utiliser.
Utilisez les extensions de sécurité
Utilisez des extensions pour lutter contre le spam, la force brute, l’authentification à deux facteurs et les vulnérabilités connues. Il en existe de nombreuses, et j’en ai listé quelques-unes parmi les meilleures ici.
Veillez à ce que les autorisations des fichiers/dossiers soient appropriées.
Tous les fichiers doivent avoir une configuration CHMOD appropriée. De préférence,
Fichiers PHP – 644
Fichiers de configuration – 644
Autres dossiers – 755
Utiliser le Web Application Firewall
Le Web Application Firewall (WAF) est essentiel pour tout site web afin de le protéger contre les failles de sécurité OWASP 10, les vulnérabilités connues et les logiciels malveillants.
Si vous hébergez votre site Joomla sur un cloud VM, vous pouvez utiliser ModSecurity, qui est gratuit. Cependant, si vous êtes sur un hébergement partagé ou si vous n’avez pas le temps, vous pouvez envisager un WAF basé sur le cloud comme Sucuri ou Astra.
L’utilisation d’un WAF vous aidera dans les domaines suivants.
- Protection contre les robots
- Protection contre les connexions
- Protection contre les portes dérobées
- Protection contre les DDoS
- Injection SQL
- Attaque XSS
- Vulnérabilités spécifiques à Joomla
- Attaque par force brute
- Protection DDoS de niveau 7
- et bien plus encore…
Si vous suivez ces étapes, il y a de fortes chances que votre site web Joomla soit plus sûr.