French

18 conseils de sécurité Joomla pour une sécurité solide contre les pirates informatiques – Un guide complet

Published on: January 27, 2021

18 conseils de sécurité Joomla pour une sécurité solide contre les pirates informatiques – Un guide complet

Article Summary

Un guide complet sur la sécurité Joomla à toute épreuve qui vous aidera à sécuriser votre site Web. Le guide comprend les étapes de bricolage, le scanner Joomla et l’extension de sécurité.

Joomla CMS est très répandu sur Internet en raison de sa facilité d’utilisation. Mais, bien que populaire, Joomla subit assez fréquemment des cyber-attaques. En outre, la mauvaise structure de sécurité Joomla est la principale cause de la majorité des attaques sur ces sites Web Joomla. Cette sécurité Joomla longtemps oubliée demande un nouveau souvenir.

This Blog Includes show

Par conséquent, nous avons compilé ce guide complet et par étapes sur la sécurité Joomla pour vous. Ce guide vise à vous fournir des étapes faciles à suivre pour améliorer la sécurité de votre site Web. De plus, il a été conçu en gardant à l’esprit l’utilisateur moyen de Joomla avec un sens technique modéré. Donc, si la sécurisation de votre site Web Joomla contre toutes les attaques à venir est à votre ordre du jour, lisez-le.

Cliquez ci-dessous les liens si vous recherchez

Un bref historique des vulnérabilités de sécurité Joomla

Le saviez-vous? Il a fallu 8 ans à Joomla (2009-2017) pour corriger une vulnérabilité critique dans le plugin d’authentification LDAP!

Plusieurs vulnérabilités ont compromis les sites Joomla dans le passé. Par exemple, le CVE-2017-8917 était une vulnérabilité d’injection SQL populaire en 2017. Elle était si facile à exploiter que tous les utilisateurs ayant peu de connaissances sur SQL pourraient l’exploiter. Une autre vulnérabilité appelée CVE-2018-15882 autorisé le téléchargement de fichiers .phar spécialement conçus sur Joomla, contournant ainsi le filtre de téléchargement de fichiers et permettant le téléchargement de fichiers sans restriction, même des shells inversés! Par conséquent, nous mettons ici en évidence les composants clés et la mise en œuvre de la sécurité Joomla qui vous aideront à vérifier ces attaques.

Statistiques de piratage Joomla

Diverses études ont montré que Joomla représente près de 4,3% de tous les sites Web piratés. Cependant, Joomla est plus sécurisé que d’autres CMS concurrents comme WordPress car Joomla garantit que toutes les extensions déploient des normes de sécurité. De plus, les détails CVE de Joomla montrent les résultats suivants.

Clairement, XSS (36,9%) reste le plus gros vecteur d’attaque sur Joomla. Après XSS, Joomla a été compromis avec l’obtention d’informations (20,5%). L’exécution de code a une part de 13,9% dans l’infection de Joomla.

Conseils de sécurité Joomla pour une sécurité solide contre les pirates

1. Faites des sauvegardes régulières

Se préparer au pire des cas peut vous faire gagner beaucoup de temps en cas d’attaque. Par conséquent, il est conseillé de créer une sauvegarde de travail complète de votre site Joomla. Une sauvegarde fonctionnelle peut restaurer votre site Web en quelques minutes après une cyberattaque.

Website Vulnerability Scanner
Scan your website for 140+ security issues like header security, cookie security, CORS tests, HTTPS security etc.

Les deux principaux composants d’une sauvegarde sont:

  • Fichiers Joomla Core et autres fichiers importants
  • La base de données

En outre, les méthodes de sauvegarde peuvent également être flexibles. Vous pouvez effectuer une sauvegarde de deux manières: manuelle et automatisée. Voici comment:

Processus manuel

La sauvegarde manuelle du site Joomla nécessite deux composants: les fichiers et la base de données. Cela peut être fait dans les étapes suivantes.

Pour les fichiers Joomla

Pour sauvegarder vos fichiers et dossiers Joomla, utilisez un utilitaire FTP ou le gestionnaire de fichiers au cas où vous utiliseriez un hébergement tiers.

Étape 1: La première étape serait de télécharger un client FTP comme FileZilla sur votre machine locale où vous avez besoin de la sauvegarde.

Étape 2: Connectez-vous à votre site en utilisant SFTP au lieu de FTP car ce dernier est plus sécurisé. Dans le champ hôte, entrez “sftp: //” (ou ftp: // au cas où SFTP ne serait pas disponible) suivi du nom de votre site Web. Dans le champ nom d’utilisateur, entrez votre nom d’utilisateur et votre mot de passe dans le champ mot de passe de FileZilla et cliquez sur “Quick Connect”.

backup using filezilla

Étape 3: Une fois connecté, localisez un dossier sur la machine locale où vous souhaitez enregistrer la sauvegarde des fichiers. Entrez le dossier dans la barre d’adresse du volet de la fenêtre “local site”.

backup using filezilla

Étape 4: Enfin, dans le volet de la fenêtre «site distant», accédez à la racine et copiez le contenu dans le volet de la fenêtre «site local». Le panneau inférieur montrera la progression. Une fois terminé, vérifiez vos fichiers dans le dossier local.

Les clients FTP peuvent télécharger tous les fichiers un par un sur votre ordinateur local. Cependant, ce processus peut être lent. Une fois les fichiers téléchargés, compressez le dossier en un seul fichier zip. Protégez-le par mot de passe et enregistrez-le dans un emplacement sécurisé.

Pour la base de données Joomla

La base de données peut être sauvegardée à l’aide de la ligne de commande. Pour ce faire, procédez comme suit:

Étape 1: Tout d’abord, identifiez le nom de la base de données de votre site Joomla. Pour ce faire, ouvrez le fichier configuration.php dans le répertoire racine de Joomla.

Étape 2: Dans ce fichier, recherchez le code qui ressemble à ceci:
public $user = 'user1';
public $password = 'abc';
public $db = 'user_db';

Étape 3: Souvenez-vous de ce code car il contient votre nom d’utilisateur, mot de passe et nom de base de données.

Étape 4: Connectez-vous maintenant à votre site via SSH et accédez au dossier dans lequel vous souhaitez enregistrer la copie de votre base de données.

Étape 5: Enfin, exécutez la commande suivante:
mysqldump -uuser1 -pabc user_db> db-backup.sql

Étape 6: Cette commande prendrait votre nom d’utilisateur via le paramètre -u et le mot de passe via le paramètre -p. Enfin, il enregistrerait la base de données user_db dans un fichier appelé db-backup.sql.

Étape 7: Téléchargez ce fichier localement et enregistrez-le dans un emplacement sécurisé. Ensuite, supprimez cette sauvegarde de votre site Web. Alternativement, cela peut être fait en utilisant phpMyAdmin mais dans certains sites, cet utilitaire peut ne pas être installé, il est donc préférable de le faire via les commandes SSH.

Processus automatique

Pour la sauvegarde automatique, l’extension Joomla comme Akeeba peut vous aider.

Étape 1: Pour installer Akeeba sur votre site Joomla, téléchargez le fichier pour Joomla en utilisant Site officiel d’Akeeba.

Étape 2:Maintenant, connectez-vous à votre zone d’administration et accédez à Extensions>Manage>Install.

Étape 3:Ensuite, cliquez sur le ‘Or Browse For File‘ et sélectionnez le fichier .zip. Une fois l’installation terminée, il sera redirigé vers une page pour confirmer la même chose.

Étape 4: Maintenant, pour sauvegarder votre site, accédez à Components >Akeeba Sauvegarde. Une fois ce composant accédé, il y aura un ‘Backup Now’ bouton visible. Cliquez dessus.

Étape 5: Une autre page s’ouvrira qui vous permettra d’ajouter une brève description à la sauvegarde et d’ajouter un commentaire. Une fois que vous avez terminé avec les deux, cliquez sur le ‘Backup Now’ bouton et le processus sera lancé. Les progrès peuvent être surveillés pendant qu’il fonctionne.

Étape 6: Lorsque la sauvegarde est terminée, vous serez redirigé vers une page. Ici, cliquez sur «Gérer les sauvegardes». Cela ouvrira une page contenant toutes les sauvegardes. Vous pouvez télécharger la sauvegarde à partir d’ici et l’enregistrer localement.

Vous faites face à un problème de sécurité Joomla? Envoyez-nous un message sur le widget de chat et nous serons heureux de vous aider. Réparez mon site Web Joomla maintenant.

2. Préfixe des tables de base de données Joomla

La base de données Joomla contient des informations sensibles sur votre site, y compris vos mots de passe utilisateur, commentaires, URL de site, etc. Avoir le préfixe de base de données par défaut peut entraîner de graves risques d’injection SQL. Par conséquent, ce serait une étape proactive pour la sécurité Joomla d’ajouter un préfixe unique à vos tables. Cela rendrait aléatoire les noms de vos tables. Et il serait difficile pour les attaquants de récupérer des données de la base de données Joomla.

Pour modifier le préfixe de la base de données, procédez comme suit:

Étape 1: Naviguez d’abord vers System > Global Configuration.

Étape 2: Maintenant, cliquez sur le Onglet Server et ouvrez le ‘Database Settings‘.

Étape 3: Enfin, ici modifiez le ‘Database Tables Prefix‘ valeur.

3. Gardez votre site Web Joomla à jour

Cependant, Joomla dispose d’une équipe de sécurité dédiée, connue pour déployer rapidement des correctifs. Pourtant, ne pas patcher votre site Joomla depuis mises à jour officielles peut le rendre vulnérable au piratage et aux campagnes de spam diffusées sur le Web. Par exemple, le ransomware de l’ombre ciblait spécifiquement les sites fonctionnant sur Joomla en exploitant des extensions boguées. Outre les ransomwares, une fois compromis, votre site Joomla peut également être utilisé pour générer de grandes quantités de spam.

Ainsi, la mise à jour de Joomla peut apporter sécurité et stabilité au site. De plus, toutes les mises à jour ne sont pas des mises à jour complètes de la version du site. Quelques mises à jour peuvent être des mises à jour mineures et des corrections de bogues tandis que certaines mises à jour sont des mises à jour de version. Pour rechercher des mises à jour sur votre site, procédez comme suit:

Étape 1: Connectez-vous à votre site Joomla en tant qu’administrateur

Étape 2: Ensuite, accédez à Components > Joomla Update

Update Joomla version for security

Étape 3: Maintenant, Joomla vérifiera si une nouvelle mise à jour est disponible. S’il affiche une nouvelle mise à jour, cliquez simplement sur “Install the Update” Option.

Update Joomla to latest version

Processus de mise à jour de la version Joomla

Avant de passer à une version plus récente de Joomla, certaines choses doivent être prises en compte. Ceux-ci sont:

  • Mise à jour des modèles: Vérifiez si vos modèles Joomla sont compatibles avec la version la plus récente. Sinon, demandez au fournisseur de modèles de mettre à jour ou d’utiliser une alternative.
  • Mise à jour des extensions: Inspectez et assurez-vous que toutes les extensions Joomla sont compatibles avec la version la plus récente. Supprimez tous ceux qui ne sont pas compatibles. Pour mettre à jour les extensions, accédez à Extensions>Manage et cliquez sur mise à jour.
Update Joomla modules for security
  • Vider le cache:Après la mise à jour vers une version plus récente de Joomla, effacez le cache de votre site Joomla. Cela peut être fait en utilisant la fonctionnalité intégrée de Joomla. Regardez l’image ci-dessous pour référence.

Remarque: Pour rester à jour avec les derniers développements en matière de sécurité Joomla, abonnez-vous aux notifications par e-mail officielles de Joomla.

4. Cachez votre version Joomla

Souvent, les attaquants font d’abord leur empreinte digitale sur votre site Web. Par conséquent, l’envoi de la version de Joomla sur chaque page peut permettre aux pirates de choisir un exploit pour votre site pour la version spécifique. Ainsi, pour une meilleure sécurité, cachez toujours la version Joomla dans le fichier de modèle principal.

Voici comment procéder:

  1. Étape 1: Tout d’abord, accédez à l’emplacement suivant: /yourwebsiteroot/templates/yourtempaltename/index.php
  2. Étape 2: Ouvrez ce fichier dans un éditeur de texte et recherchez le code: <jdoc: include type = "head" />. Utilisez la fonction de recherche de l’éditeur de texte.
  3. Étape 3: Une fois cette ligne trouvée, ajoutez le code suivant juste avant: $ this-> setGenerator ("");
  4. Étape 4: Maintenant, votre site va maintenant masquer votre version de Joomla. Si vous mettez à jour votre site, assurez-vous de répéter ce processus pour la sécurité Joomla.

Cependant, l’utilisation d’Astra bloquera automatiquement toute fuite d’informations sensibles de votre site. Vous rencontrez toujours des difficultés pour mettre à jour votre site Joomla, obtenez de l’aide.

5. Utilisez .htaccess pour déployer les paramètres de configuration de base

Un site Web Joomla est livré avec un .htaccess fichier. .htaccess les fichiers sont exclusifs au serveur Apache et vous pouvez l’utiliser pour contrôler quelques paramètres de sécurité sur votre site Web.

Vous pouvez utiliser .htaccess pour bloquer les utilisateurs, pour protéger par mot de passe certains fichiers et dossiers, pour rediriger les utilisateurs vers d’autres pages de votre site Web.

.htaccess est un simple fichier texte placé dans le dossier racine de votre site Web. Vous pouvez utiliser le fichier .htaccess pré-configuré défini par Joomla pour mieux protéger votre site Web.

Voici le contenu .htaccess recommandé par Joomla.

##
# @package Joomla
# @copyright Copyright (C) 2005 - 2018 Open Source Matters. Tous les droits sont réservés.
# @license GNU General Public License version 2 ou ultérieure; voir LICENSE.txt
##

##
# LISEZ CE COMPLÈTEMENT SI VOUS CHOISISSEZ D'UTILISER CE FICHIER!
#
# La ligne 'Options + FollowSymLinks' peut poser des problèmes avec certaines configurations de serveur.
# Il est requis pour l'utilisation de mod_rewrite, mais il a peut-être déjà été défini par votre
# administrateur du serveur d'une manière qui ne permet pas de le modifier dans ce fichier .htaccess.
# Si son utilisation provoque une erreur sur votre site, commentez-la (ajoutez # au
# début de ligne), rechargez votre site dans votre navigateur et testez vos URLs. Si
# ils fonctionnent, alors il a été défini par votre administrateur de serveur et vous n'avez pas besoin de
# Réglez-le ici.
##

## Aucune liste d'annuaire
<IfModule autoindex>
IndexIgnore *
</IfModule>

## Peut être commenté en cas d'erreur, voir les notes ci-dessus.
Options + Suivre
Options -Index

## Mod_rewrite en cours d'utilisation.

RewriteEngine On

## Begin - Réécrire les règles pour bloquer certains exploits courants.
# Si vous rencontrez des problèmes sur votre site, commentez les opérations répertoriées
# ci-dessous en ajoutant un # au début de la ligne.
# Ceci tente de bloquer le type le plus courant de «tentatives» d'exploit sur Joomla!
#
# Bloquez tout script essayant de coder les données base64_encode dans l'URL.
RewriteCond% {QUERY_STRING} base64_encode [^ (] * \ ([^)] * \) [OR]
# Bloquez tout script qui inclut une balise <script> dans l'URL.
RewriteCond% {QUERY_STRING} (<|% 3C) ([^ s] * s) + cript. * (> |% 3E) [NC, OR]
# Bloquez tout script essayant de définir une variable PHP GLOBALS via une URL.
RewriteCond% {QUERY_STRING} GLOBALS (= | \ [| \% [0-9A-Z] {0,2}) [OU]
# Bloquez tout script essayant de modifier une variable _REQUEST via une URL.
RewriteCond% {QUERY_STRING} _REQUEST (= | \ [| \% [0-9A-Z] {0,2})
# Renvoie l'en-tête 403 Forbidden et affiche le contenu de la page d'accueil racine
RewriteRule. * Index.php [F]
#
## End - Réécrire les règles pour bloquer certains exploits courants.

## Begin - Redirections personnalisées
#
# Si vous devez rediriger certaines pages ou définir un non-www canonique sur
# www redirect (ou vice versa), placez ce code ici. Assurer ces
# les redirections utilisent la syntaxe RewriteRule correcte et les indicateurs [R = 301, L].
#
## End - Redirections personnalisées

##
# Décommentez la ligne suivante si l'URL de votre serveur Web
# n'est pas directement lié aux chemins de fichiers physiques.
# Mettez à jour votre Joomla! Répertoire (juste / pour root).
##

# RewriteBase /## Commencer - Joomla! Section principale du SEF.
#
RewriteRule. * - [E = HTTP_AUTHORIZATION:% {HTTP: Authorization}]
#
# Si le chemin et le fichier demandés ne sont pas /index.php et la requête
# n'a pas déjà été réécrit en interne dans le script index.php
RewriteCond% {REQUEST_URI}! ^ / Index \ .php
# et le chemin et le fichier demandés ne correspondent pas directement à un fichier physique
RewriteCond% {REQUEST_FILENAME}! -F
# et le chemin et le fichier demandés ne correspondent pas directement à un dossier physique
RewriteCond% {REQUEST_FILENAME}! -D
# réécrire en interne la requête dans le script index.php
RewriteRule. * Index.php [L]
#
## Fin - Joomla! Section principale du SEF.

6. Utilisez l’authentification à deux facteurs Joomla

L’authentification à deux facteurs ajoute une couche supplémentaire à la sécurité Joomla. Pour activer l’authentification à deux facteurs dans Joomla:

  • Connectez-vous et accédez à Gestionnaire des User Manager>Edit>Two-Factor Authentication.
Two factor authentication in Joomla
  • Si vous ne trouvez pas ce plugin, allez dans le gestionnaire de plugins. Là, accédez aux plugins Two Factor et activez celui pour Google Authenticator.
  • Maintenant, pour activer l’authentification à deux facteurs de Google, téléchargez l’application Google Authenticator sur votre mobile ou votre ordinateur.
  • Désormais, un code QR vous sera visible dans les options de votre site Joomla. Scannez ce code à l’aide de l’application Google Authenticator sur mobile. Ou ajoutez la clé dans Google Authenticator exécuté sur un ordinateur.
Google Authentication for Joomla
  • Accédez maintenant au champ Activer l’authentification à deux facteurs de votre site Joomla. Ici, saisissez le code à six chiffres généré sur votre application Google Authenticator. Enfin, cliquez sur enregistrer et fermer.
  • Après vous être déconnecté, vous verrez maintenant que pour vous connecter, Joomla vous demandera une clé secrète avec le mot de passe. Cette clé secrète peut être obtenue à partir de l’application Google Authenticator sur votre mobile ou votre ordinateur.

7. Restreindre l’accès à la zone d’administration Joomla

La zone d’administration de Joomla étant une ressource sensible, il est sage de limiter l’accès par filtrage IP. Cela peut également être fait pour d’autres dossiers sensibles de Joomla. Pour mettre en œuvre cela,

  • Étape 1: Créez d’abord un fichier .htaccess s’il n’est pas déjà présent dans le répertoire que vous souhaitez protéger.
  • Étape 2: Ajoutez le code suivant au fichier .htaccess:
    Order Deny, Allow
    Deny from all
    Allow from xx.xx.xx.xx
  • Étape 3: Entrez l’adresse IP à partir de laquelle vous souhaitez autoriser l’accès à la place de xx.xx.xx.xx. Cependant, si vous avez une adresse IP dynamique, cela ne semble pas être une bonne idée.
  • Étape 4: Si ce code ne fonctionne pas pour vous, essayez de l’ajouter au fichier .htaccess:
    RewriteEngine on
    RewriteCond %{REQUEST_URI} ^(.*)?administrator$
    RewriteCond %{REMOTE_ADDR} !^xx\.xx\.xx\.xx$
    RewriteRule ^(.*)$ – [R=403,L]

Si vous utilisez Astra, il peut bloquer les utilisateurs de votre site Joomla en fonction de l’adresse IP ou de la géolocalisation.

8. Limiter les tentatives de connexion dans Joomla

Il est nécessaire de limiter les tentatives de connexion sur le panneau d’administration pour éviter les attaques par force brute sur la sécurité Joomla. À l’heure actuelle, cela ne peut être implémenté que par diverses extensions Joomla. Un de ces plugins disponibles gratuitement est le plugin «Limit Login Attempts». Pour installer ce plugin:

  • Étape 1: Téléchargez le fichier .zip sur le site officiel. Connectez-vous maintenant à votre zone d’administration et accédez à Extensions>Manage>Install
Limit Login In Joomla for security
  • Étape 2: Pour installer le plugin «Limiter les tentatives de connexion», cliquez maintenant sur le bouton ‘Or Browse For File‘ et sélectionnez le fichier .zip que vous avez téléchargé. Une fois l’installation terminée, il sera redirigé vers une page pour confirmer la même chose.
Joomla plugin for limit login
  • Étape 3:Naviguez maintenant vers Components >Limit Login Attempts. Une fois ce plugin accédé, un bouton «Paramètres» sera visible. Cliquez dessus.
  • Étape 4:Ici, vous pouvez modifier divers paramètres tels que les essais autorisés, etc. Après avoir changé, cliquez sur le bouton “Save & Close” bouton.
Joomla security limit login

9. Utilisez des mots de passe forts

L’utilisation d’un mot de passe sécurisé est nécessaire pour une sécurité Joomla saine. Assurez-vous que votre mot de passe de connexion est suffisamment long (8 à 14 caractères) et comprend des alphabets, des chiffres et des symboles. Depuis, les mots de passe sont sensibles à la casse, l’utilisation de lettres majuscules et minuscules le rend encore plus fort. De plus, prenez l’habitude de changer les mots de passe au moins une fois par mois.

D’un autre côté, un mot de passe faible est un mot de passe qui peut être deviné facilement. Les mots de passe tels que votre propre nom, le nom de votre site Web, 12345678, 9874561, etc. sont classés comme des mots de passe faibles.

Vous pouvez créer des mots de passe par vous-même ou utiliser un générateur de mots de passe en ligne aux fins. Cependant, si vous créez vous-même un mot de passe, voici un exemple de la façon dont vous pouvez le convertir en mot de passe fort.

Remplacez les lettres par des chiffres et des symboles Exemple: “Spooky Halloween” devient “sPo0kyH @ ll0w3En”

10. Définir les autorisations de fichier Joomla recommandées

La sécurité Joomla peut être encore renforcée si les autorisations de fichier sont correctement définies. La suggestion par défaut de Joomla est 644 pour les fichiers et 755 pour les répertoires.

  1. Ouvrez votre client FTP comme FileZilla et connectez-vous à votre site Web.
  2. Sélectionnez le fichier / dossier dont vous souhaitez modifier l’autorisation. Cliquez avec le bouton droit et sélectionnez l’option Autorisations de fichier.
  3. Pour les fichiers, définissez le champ Valeur numérique sur 644 pour les fichiers et pour les répertoires, changez-le en 755. Enfin, cliquez sur le bouton “OK”.
  4. Définissez les autorisations du fichier Configuration.php sur 444 & ne jamais utiliser 777 autorisations pour les fichiers et dossiers
Joomla file & directory permission

Cependant, si certaines de vos autorisations sont incorrectes et que des attaquants tentent de modifier ces fichiers, Astra bloquera automatiquement les tentatives et sécurisera votre site.

Vous faites face à un problème de sécurité Joomla? Envoyez-nous un message sur le widget de chat et nous serons heureux de vous aider. Sécurisez mon site Web Joomla maintenant.

11. Mettez à jour la version PHP de votre site Web Joomla

L’utilisation de la dernière version de PHP peut vous protéger contre une variété d’attaques de piratage Joomla et renforcer votre sécurité Joomla. Assurez-vous que vous utilisez la dernière version de PHP. Si vous utilisez un hébergement partagé, demandez à votre fournisseur de services de se mettre à jour. Ils le mettront à jour pour vous. Cependant, vous pouvez également le mettre à jour à partir de votre cPanel. Faire cela:

  1. Étape 1: Connectez-vous à votre cPanel et recherchez “PHP Version Manager” ou dans certains cas “PHP Configuration option”
  2. Étape 2: Une fois trouvé, cliquez dessus. Cela ouvrira la possibilité de sélectionner la version PHP.
  3. Étape 3: Enfin, sélectionnez la version PHP 5.6+ ou 7 et cliquez sur “Save”.

12. Désactiver les fonctions PHP dangereuses

Certaines fonctions de PHP sont souvent utilisées par des attaquants pour compromettre votre site. Par conséquent, ces fonctions constituent une menace pour la sécurité Joomla et il est préférable de les désactiver. Faire cela:

  1. Étape 1: Connectez-vous à votre site et ouvrez le gestionnaire de fichiers.
  2. Étape 2: Parcourez et ouvrez le fichier php.ini.
  3. Étape 3: Ajoutez le code suivant à ce fichier: disable_functions = “show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen, eval”

13. Désactiver les injections de script

Pour bloquer toute tentative des hackers d’injecter du code malveillant dans les fichiers PHP de votre site Joomla, utilisez le fichier .htaccess. Ajoutez simplement le code suivant au fichier .htaccess pour désactiver les attaques par injection de script:

Options +FollowSymLinks

RewriteEngine On

RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})

RewriteRule ^(.*)$ index.php [F,L]

14. Filtrer les commentaires de spam dans Joomla

Une grande partie du trafic Internet provient d’outils automatisés. Ces robots explorent souvent des sites Web et essaient d’injecter des liens de spam dans les champs de commentaires de divers sites. Ces commentaires de spam peuvent constituer une menace pour la sécurité Joomla tout en donnant à votre site une apparence non professionnelle. Par conséquent, vérifiez chaque commentaire avant d’approuver. Vous pouvez également utiliser des extensions Joomla comme Akismet pour filtrer le spam dans vos commentaires.

15. Utilisez l’hébergement sécurisé

Assurez-vous que votre fournisseur d’hébergement met en œuvre les mesures de sécurité Joomla. Dans le cas d’un serveur partagé, assurez-vous que le sous-réseau est implémenté. Parfois, l’hébergement bon marché peut s’avérer coûteux.Par conséquent, choisissez le plan d’hébergement en tenant compte de la sécurité Joomla. Par conséquent, avant de choisir un plan d’hébergement, recherchez divers paramètres tels que la personnalisation, le support, les avis, etc.

16. Utilisez SSL pour renforcer la sécurité Joomla

L’utilisation du certificat SSL (Secure Socket Layer) peut crypter la communication entre votre site Joomla et ses utilisateurs. Ce n’est pas non plus bon du point de vue de la sécurité Joomla, mais cela peut également aider votre site avec les classements Google. Obtenez un certificat SSL d’une autorité de certification vérifiée. Enfin, assurez-vous que tout votre trafic HTTP est redirigé vers HTTPS. Pour implémenter cela, ajoutez le code suivant à votre fichier .htaccess:

# Rediriger HTTP vers HTTPS 

RewriteEngine On RewriteCond %{HTTPS} off 

RewriteCond % {HTTP: X-Forwarded-Proto} !https

RewriteRule ^ (. *) $ https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

17. Audit de sécurité Joomla

Pour garder votre site Web sûr et sécurisé, il est extrêmement important de découvrir les vulnérabilités avant qu’un pirate ne le fasse. Un audit de sécurité peut vous aider ici. Vous pouvez opter pour un audit de sécurité professionnel par Astra. Astra utilise un mélange optimisé de mécanismes manuels et automatisés pour découvrir les vulnérabilités de votre site. Vous obtiendrez un rapport détaillé à la fin de celui-ci. Et nos ingénieurs en sécurité seront là jusqu’à ce que vos développeurs corrigent toutes les vulnérabilités.

wordpress security audit, magento security audit

De plus, pour un site Web sécurisé, il est important de se livrer à des audits de sécurité périodiques. Des audits de sécurité méticuleux sont un excellent moyen d’améliorer votre sécurité Joomla.

18. Pare-feu pour améliorer la sécurité Joomla

Un pare-feu peut jouer un rôle actif dans le blocage de toute attaque à venir sur votre site Joomla. Comme son nom l’indique, un pare-feu de sécurité Web agit comme une barrière entre votre site Web Joomla et Internet. Chaque demande effectuée depuis Internet vers votre site passe par le pare-feu. Par conséquent, toutes les demandes de piratage sont bloquées.

Astra fournit un pare-feu fiable et abordable qui peut protéger votre site Joomla de manière transparente. De plus, un tel package complet arrive à un prix abordable et spécialement conçu pour la sécurité Joomla.

Firewall working
Comment Astra Web Application Firewall protège votre site Web WordPress

Conclusion

Ce guide tente de couvrir diverses pratiques pour améliorer votre sécurité Joomla. Par conséquent, la mise en œuvre de chaque étape mesurée peut garantir un fonctionnement sans tracas de votre site Web dans le domaine de la sécurité du site Web.

Mise à jour [décembre 2020]: mises à jour de sécurité récentes dans Joomla Core

1. Ecrire une violation d’ACL dans plusieurs vues principales[CVE-2020-35616]

Un exploit de violation d’ACL à fort impact est découvert dans Joomla Core qui entraîne un manque de validation d’entrée dans le processus de gestion des ensembles de règles ACL.

  • Date signalée: 4 novembre 2020
  • Date fixe: 24 novembre 2020
  • Versions concernées: Joomla v1.7.0 – v3.9.22
  • Problème résolu dans la version: Joomla v3.9.23 (mise à jour immédiate)

2. CSRF dans la fonctionnalité com_privacy emailexport[CVE-2020-35615]

Une vulnérabilité CSRF (Cross-site Request Forgery) de faible gravité est découverte dans la fonction emailexport de com_privacy dans Joomla.

  • Date signalée: 8 octobre 2020
  • Date fixe: 24 novembre 2020
  • Versions concernées: Joomla v3.9.0 – v3.9.22
  • Problème résolu dans la version: Joomla v3.9.23 (mise à jour immédiate)

3. Énumération d’utilisateurs dans la connexion backend[CVE-2020-35614]

Une vulnérabilité de gestion incorrecte à faible impact et à faible gravité a été découverte dans Joomla Core, ce qui peut entraîner une attaque d’énumération d’utilisateurs à partir de la page de connexion du backend.

  • Date signalée: 15 août 2020
  • Date fixe: 24 novembre 2020
  • Versions concernées: Joomla v3.9.0 – v3.9.22
  • Problème résolu dans la version: Joomla v3.9.23 (mise à jour immédiate)

4. Injection SQL dans la vue de liste com_users[CVE-2020-35613]

Un problème de filtre incorrect à fort impact est découvert dans la liste com_users qui peut entraîner une vulnérabilité d’injection SQL (SQLi) dans la liste backend du noyau Joomla.

Date signalée: 13 octobre 2020
Date fixe: 24 novembre 2020
Versions concernées: Joomla v3.0.0 – v3.9.22
Problème résolu dans la version: Joomla v3.9.23 (mise à jour immédiate)

Vous avez des suggestions? Commentaires ci-dessous!

Ce message vous a-t-il été utile?

Mots clés: Guide de sécurité Joomla, Pratiques de sécurité Joomla, Conseils de sécurité Joomla, guide de sécurité

Was this post helpful?

Kanishk Tagade

Kanishk Tagade is a Marketing Manager at Astra Security. Having a hawk-eyed view on the cybersecurity threat landscape, market-shifts, and hacktivism activities, Kanishk is a community member of the Nasscom and corporate contributor at many technology magazines and security awareness platforms. Editor-in-Chief at "QuickCyber.news", his work is published in more than 50+ news platforms. He is also a social micro-influencer for the latest cybersecurity defense mechanisms, Digital Transformation, Machine Learning, AI and IoT products.
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

Psst! Hi there. We’re Astra.

We make security simple and hassle-free for thousands
of websites and businesses worldwide.

Our suite of security products include firewall, malware scanner and security audits to protect your site from the
evil forces on the internet, even when you sleep.

earth spiders cards bugs spiders

Made with ❤️ in USA France India Germany