Votre site Joomla ! Est-il bien sécurisé ?
Joomla Est en train de devenir l'un des CMS (Content Management System) les plus populaires au monde, utilisé par près de 3% des sites publiés sur le web et dépassant les 30 millions de téléchargements – il y a de grandes chances que vous visitiez au moins un site Joomla Chaque jour. Beaucoup d'entreprises utilisent Joomla. Pour assurer leur présence sur le web, mais souvent, les propriétaires de ces entreprises n'ont pas les compétences nécessaires pour s'assurer du bon fonctionnement de leurs sites, ou de les mettre à jour avec les derniers patchs de sécurité. Cet article apporte aux propriétaires de sites web Joomla Quelques astuces simples afin de maintenir leurs sites à jour, ainsi que quelques outils permettant de simplifier cette tâche.
Votre site utilise-t-il la dernière version de Joomla ?
La tâche la plus fondamentale que tous les propriétaires de sites web Joomla doivent effectuer est de garder l'installation de base de Joomla à jour. Comme pour n'importe quel logiciel, les bugs et failles de sécurité sont identifiés et fixés régulièrement, et un 'patch' est régulièrement mis à disposition pour résoudre ces problèmes.
Le projet Joomla est doté d'une équipe de sécurité (Security Strike Team) dont la tâche est d'identifier et de fixer les failles de sécurité, avec des patchs pour les problèmes critiques ou de haute importance qui sont mis à disposition immédiatement, et d'autres patchs pour les problèmes moins importants qui sont mis à disposition avec les sorties régulières du cycle. Les mises à jour de Joomla sont généralement largement diffusées, sur le site officiel de Joomla, la page Facebook, Twitter et la communauté Google+.
Vous pouvez vérifier quelle version de Joomla vous utilisez de deux manières différentes, les deux nécessitent une connexion à l'administration (backend) de votre site (en vous rendant à l'adresse www.votre-site.com/administrator). Si vous ne pouvez pas vous connecter à cette administration (vous obtiendrez un message d'erreur vous indiquant que vous n'avez pas les droits nécessaires) c'est que vous n'avez pas de compte administrateur, vous devrez donc en parler à l'administrateur du site.
Il y a plusieurs versions de Joomla :
- Joomla 1.0.x – qui a été abandonnée depuis très longtemps et qui n'est plus supportée d'aucune manière (honte à vous)! Généralement dénotée par un bandeau rouge en haut de page, vous trouverez le numéro de version en pied de page. La dernière version stable est la version 1.0.15.
- Joomla 1.5.x – cette version a été abandonnée récemment (septembre 2012) mais de nombreux sites web utilisent encore cette version. Cependant, le support officiel a stoppé son développement, et de nombreux développeurs d'extension ne la supporteront plus très longtemps. Dénotée par un bandeau vert en haut de page, vous trouverez le numéro de version dans la partie haute/droite de la page. La dernière version stable est la version 1.5.26.
- Joomla 1.6.X et 1.7.x – ces versions étaient des versions STS (versions de support à court terme) et ne sont plus supportées. Dénotées par un bandeau bleu en haut de page, le numéro de version est disponible en bas de pied de page. Ces versions comportant de nombreuses failles de sécurité, il est important de rapidement mettre à jour vers Joomla 2.5.
- Joomla 2.5 – C'est la version STS (LTS?) (version de support à long terme) stable actuelle de Joomla Elle est dénotée par un bandeau bleu en haut de page, le numéro de version est disponible en bas de pied de page.
Si vous ne pouvez pas voir le numéro de version, vous pouvez vous rendre sur la page d'information système sur laquelle vous trouverez ce numéro de version ainsi que d'autres informations sur votre site Joomla ainsi que sur votre hébergement Joomla.
Comment mettre à jour ?
Mettre votre site à jour ne devrait pas vous poser de problème, néanmoins il est important de faire une sauvegarde complète de votre site auparavant. Vous pouvez télécharger les patchs de correctif manuellement à partir du site officiel de Joomla ou de celui de l'afuj (pour les versions antérieures à 1.7.x) et les transférer par FTP, ou vous pouvez utiliser Admin Tools pour mettre à jour en quelques clics) !
Dois-je migrer ?
Si votre site tourne sous Joomla 1.0.x, 1.5.x, 1.6.x, 1.7.x vous devriez sérieusement prendre en considération une migration vers Joomla 2.5. La raison de cela est que l'équipe de sécurité de Joomla (Security Strike Team) ne supporte que la dernière version stable, et de nombreuses extensions ne soient pas disponibles pour les anciennes versions de Joomla. Ce qui signifie que les éventuelles vulnérabilités et bugs qui seront identifiés ne seront pas corrigés pour votre version.
Il est important de bien comprendre que le passage de 1.0.x vers 1.5.x, ou de 1.5.x vers toute version supérieure requiert une migration, généralement la réinstallation de toutes les extensions, et l'ajustement, ou le remplacement, du template qui ne sera pas compatible avec la nouvelle version. A moins que vous ne soyez un spécialiste de Joomla, il est recommandé de demander l'aide d'un spécialiste pour effectuer ce travail.
Vos extensions sont-elles à jour ?
En second lieu, après vous être assuré que Joomla est à jour, il est important de garder les extensions installées sur le site à jour. De nombreux sites web compromis dont j'ai dû m'occuper l'étaient à cause d'extensions vulnérables, comportant des failles de sécurité, plus qu'à Joomla lui-même – et dans la majorité des cas, le propriétaire du site n'avait pas apporté le patch fourni par les développeurs de l'extension.
Si une extension vulnérable est identifiée et rapportée, elle est testée par des experts en sécurité et ajoutée à la liste “Vulnerable Extensions List” avec les détails du type de vulnérabilité ainsi que les versions affectées à coté des mises à jour qu'apporte le développeur de l'extension. Celles affichées en rouge n'ont pas encore été résolues.
Comment mettre à jour une extension Joomla ?
Mettre une extension à jour revient en général à simplement installer la nouvelle version – avec Joomla 2.5 et supérieur, vous pouvez faire ces mises à jour automatiquement (si l'extension le supporte) depuis la fonctionnalité de mise à jour. Pensez bien à faire une sauvegarde complète du site avant, au cas où vous rencontriez des problèmes.
La meilleure solution pour être au courant des mises à jour des extensions installées sur votre site est de vous inscrire aux newsletters. La plupart des développeurs envoient des newsletters lors de la sortie d'une nouvelle version.
Est-ce que votre portail administrateur est accessible au public ?
Si vous pouvez naviguer sur la page www.mon-site.com/administrator alors n'importe qui peut savoir que votre site utilise Joomla - c'est une barrière en moins pour les éventuels pirates.
Comment cacher mon portail administrateur ?
Il existe plusieurs manières pour cacher cette partie du site, la plus utilisée consiste à utiliser un “mot secret” qui devra être ajouté à l'URL pour pouvoir accéder à la page de connexion. Un exemple pourrait être www.mon-site.com/administrator/?monmotsecret. De cette manière, si l'utilisateur n'a pas le “mot secret”, il ne pourra pas accéder à la page de connexion et sera redirigé vers la page d'accueil (par exemple).
Admin Tools comporte cette fonctionnalité nativement, et il existe plusieurs autres extensions que vous trouverez sur le JED (Joomla Extensions Directory).
Le compte administrateur par défaut est-il toujours activé ?
Lorsque vous créez un site web en utilisant une version inférieure à Joomla 2.5.x, un administrateur par défaut était créé en utilisant un ID prédéfini – dans Joomla 1.5 et inférieur cet ID était #62, et dans Joomla 1.6 et supérieur cet ID était #42. Le nom d'utilisateur était “admin”. Ces deux choses ne sont pas souvent modifiées par les utilisateurs de site web.
Alors quoi, me direz-vous ! Si quelqu'un essaye de compromettre votre site web et qu'il sait que ce compte existe avec l'utilisateur #62 ou #42 qui a accès à la totalité du site, c'est la première chose qu'il va tenter d'atteindre par une quelconque faille – pour avoir accès à ce compte afin de pouvoir ensuite se connecter avec les droits super administrateur (et pouvoir faire ce qu'il souhaite y compris défigurer votre site ou y installer des codes malicieux).
Comment faire avec les comptes administrateur par défaut ?
La meilleure des choses à faire est de désactiver ce compte, et d'utiliser un autre compte pour effectuer vos taches administrateur.
La règle de base est de n'avoir que l'absolu minimum de comptes administrateurs dont vous avez besoin, et de vous assurer qu’ils sont dotés de mots de passe solides. Si vous créez un compte administrateur pour quelqu'un qui doit travailler sur le site, n'oubliez pas de désactiver ce compte une fois le travail terminé.
Souvenez-vous que le compte administrateur est la clé de votre maison ou d'une voiture couteuse, que vous ne laisserez certainement pas dans les mains de n'importe qui.
Faites-vous régulièrement des sauvegardes de votre site que vous stockez ailleurs que sur le serveur où est hébergé le site ?
Si le pire arrive et que votre site est mis hors ligne, que vous entrez en conflit avec votre hébergeur, que vous vous faites pirater, ou que vous (ou un autre administrateur) commentez une erreur et souhaitez rapidement revenir en arrière, que pourrez-vous faire ?
Si vous êtes le propriétaire d'une entreprise, vous devriez placer les sauvegardes dans vos objectifs de stabilité et considérer le fait de ne pas en faire comme un risque important pour votre entreprise, surtout si une grande partie de votre travail vient par l'intermédiaire de votre site web.
Comment sauvegarder mon site ?
Il est possible de sauvegarder automatiquement votre site web, et même de le transférer sur des espaces de stockage distants tel que DropBox (gratuit) ou Amazone S3, et de vous envoyer une notification si un quelconque problème est rencontré. La meilleure extension pour réaliser ce travail est Akeeba Backup, qui a fait ses preuves auprès de milliers d'utilisateurs Joomla du monde entier. La version professionnelle vous permet également de sauvegarder d'autres bases de données (par exemple si vous une utilisez une solution E-commerce ou E-learning indépendante).
Sauvegarder votre site ne représente qu'une partie de la gestion des risques cependant – assurez-vous de tester vos sauvegardes régulièrement, vous n'aurez pas à le faire dans les moments plus difficiles. Vous pouvez faire cela facilement en utilisant Akeeba kickstart qui vous permet de recréer votre site (sur un serveur local par exemple) en quelques minutes.
Comment garder le contrôle ?
La gestion d'un site est assez aisée en ajoutant des rappels à votre agenda ou en gardant un œil sur l'actualité de Joomla pour surveiller les mises à jour, mais si vous êtes une personne avec un emploi du temps chargé ou que vous devez vous occuper de nombreux différents sites il est facile de manquer l'annonce d'une mise à jour ou d'oublier de mettre un site à jour.
Il est important de bien noter que dès qu'une annonce de mise à jour est faite par l'équipe Joomla, les différentes vulnérabilités qui ont été corrigées sont listées et publiées – et donc plus vous gardez votre site longtemps sans appliquer le patch de correctif, plus le risque est grand de voir ce site piraté.
Admin Tools et Akeeba Backup possèdent tous les deux nativement un système de notifications vous alertant régulièrement si votre site n'est pas à jour ou si votre sauvegarde échoue, mais cela peut être inefficace si vous gérez de nombreux sites.
L'automatisation et la surveillance à distance des sites.
Lorsque je me suis rendu à la Joomla Word Conference j'ai discuté avec Victor Drover – le visage qui se cache derrière le fournisseur d'extensions Anything Digital (Jcal, sh404, Jostta et plus encore) – et nous avons discuté de son dernier service, Watchful.li, qui était présent pour son lancement en tant que sponsor à la Joomla Word Conference.
Watchful surveille autant de sites web que vous souhaitez, et vous informera rapidement s'ils ne sont pas à jour. Watchful peut également surveiller vos sauvegardes, et vérifier vos pages d'accueil en se fixant sur un mot spécifique – si ce mot est absent, cela peut être un signe qu'il a été supprimé sans votre consentement.
Les sauvegardes peuvent également être déclenchées directement depuis l'administration Watchful.li tout comme les mises à jour des sites tournant sous Joomla 2.5 ou plus récents.
Nous avons récemment commencé à déplacer tous nos sites vers Watchful.li et continuons d'être impressionnés par les nouvelles fonctionnalités qui sont apportées.
Je souhaiterais vous recommander d'y jeter un œil – Victor fournit également sympathiquement un code pour les lecteurs de cet article (l’article original accessible sur cette page) avec lequel vous obtiendrez un abonnement de 3 mois pour seulement 3$ - et vous trouverez également un code, sur votre administration, pour obtenir 20% de réduction chez Akeeba si vous signez chez Watchful !
Conclusion
En conclusion, j'ai simplement présenté une poignée d'astuces que je considère importantes à prendre en considération afin d'avoir un site web Joomla sécurisé, elles sont toutes dans les capacités d'un propriétaire de site web régulier. Il existe également des outils qui permettent d'automatiser une grande partie de ces taches, ce que je recommande si vous êtes une personne très occupée.
Veuillez noter que même si cela vous donne des consignes de sécurité de base vous permettant de garder votre site sécurisé, il y a de nombreux autres facteurs qui doivent être pris en considération comme par exemple la sécurité de votre hébergeur, mais ces 5 astuces devraient vous aider à tenir la route.
Cet article est tiré de l'article How Secure is Your Joomla Website? par Ruth Cheesley
