Aide-Joomla.com

Je me permets de faire un résumé pour la protection des sites joomla! Je pense que cela peut servir notamment aux nouveaux dans le domaine
Je crois d'abord qu'il est important de bien comprendre que le temps ou on pouvait créer un site le mettre en ligne et ne plus s'en occuper du tout est révolu depuis longtemps (à moins d'être un inconditionnel de frontpage...argh ).
Voici quelques règles à suivre à mon avis pour éviter les gros ennuis :

1. Avoir toujours son site à jour avec la dernière version (les patchs corrigent les failles de sécurités découvertes) Il faut donc suivre l'actualité de joomla!
2. Cela devrait suffire sauf que l'on ajoute toujours des composants, modules etc. Il faut dans un premier temps bien les choisir car ils peuvent présenter des failles de sécurité que joomla! ne pourra pas contrer. Exemple, le module trouvé sur joomla.org dont la dernière mise à jour date de janvier 2007...
3. Comme on vérifie les derniers versions de joomla! il faut donc aussi vérifier les mises à jours de ces composants modules etc. et les patcher si besoin !
4. Ajout de Jsecure authentification
5. Ajout du plugin S********e : voir Google ou de l'excellente alternative Crawlprotect (merci Lavsteph, ajout au 17/02/2010)
6. Ajout d'une protection des formulaires (par exemple pour com_contact et com_user)
7. Tout bête mais avoir de bons identifiants et mot de passe pour l'accès en administrator : si vous etes encore en utilisateur admin et mot de passe admin il va vite y avoir un problème!! (Voir ce sujet)
8. Ajouter un htpasswrd sur l'accès au dossier administrator (certains hébergeurs le propose dans leurs options comme c'est le cas pour celeonet ! mais on peut l'ajouter manuellement)
9. Avoir un bon htaccess !
10. Sauvegarder sa base et ses fichiers régulièrement et les mettre en lieu sur !!!
11. Chmoder certains fichiers sensibles ! (merci lavsteph) comme : .htaccess configuration.php index.php index2.php de la racine du site (attention lors des mises à jour de joomla! à repasser ces fichiers en 644 avant de faire l'upload via ftp !!) (merci Compte supprimé) ainsi que index.php index2.php et index3.php du répertoire administrator. Chmoder également en 444 (voire 400 si l'hébergeur le permet...) les fichiers css des templates du site et de la partie admin. et pour finir le fichier s********e.xml (voir n°5) Ajout au 04/05/09

Voilà en espérant que cela aide un peu

• Voilà avec cela il y a de que voir venir !
• A retenir : cela demande du travail c'est évident. Il faut en avoir conscience.!

A vous de jouer

bonjour,
Merci Danakyl ! ces informations seront surement très précieuses

Bonsoir Danakyl,

bravo tu as fait un très résumé des bases que tout webmaster sous Joomla devrait appliquer, conseils trop souvent oubliés.

Je vais rajouter une choses qui a aussi son importance, l'hébergement et son hébergeur.

Pour pouvoir appliquer de bonnes règles comme la gestion du .htaccess et .htapassowrd et la possibilité de Chmoder certains fichiers sensibles. Il faut que l'hébergeur le permette donc on oubliera d'office les hébergeurs gratuits qui ne proposent pas ce type d'option.

Comme tu le dis si bien


En résumé cela a aussi un coup financier, relativement abordable pour un petit site mais qui peut vite aussi devenir conséquent pour d'autres, à ne pas oublier.

Merci à tous pour vos compliments, cela me va droit au coeur !
J'ai beaucoup appris sur la sécurité de joomla! grâce aux différents forums (et Compte supprimé notamment). Il était normal que je transmette à mon tour ce que j'avais appris ! (et si cela peut en rassurer certains tout cela est parti d'un hacking d'un de mes sites il y a plus d'un an maintenant)
Who's next for the Compte supprimé mania?

(au passage lavsteph j'adore ta façon d'écrire .htapassowrd !! )

Danakyl écrit:


Bonsoir,

je ne risque de ne pas dire mieux, vu ce que l'on nous promet sur le papier (si l'on peut dire )

Mon inquiétude se situe surtout au niveau du développement des extensions, qui est bien loin d'être ce qu'il devrait être, vu que ce qui fonctionne sous 1.5 ne présentera pas obligatoirement compatible sous 1.6

lavsteph écrit:

bonsoir,
sur ce point je te rassure! tout sera compatible, la différence entre les extensions de la version 1.0 et 1.5 c'est le respect d'un protocole de développement avec des petites différences au niveau de la base de données de deux versions
les extensions de la version 1.5 respectent le modèle MVC, et les futures pour la version 1.6 le seront.
la différence est au niveau de l'ACL, et ce ACL ne va pas affecter la structure...