Thierry Broussegoutte

consultant / formateur / intégrateur web
vendredi 23 juin 2017

Note utilisateur: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 

Google s’intéresse de près aux problèmes de sécurité des sites web cibles de piratages ayant pour but de récupérer les informations personnelles des internautes, d’utiliser les serveurs d’hébergement pour envoyer des messages indésirables (spam) ou de propager des programmes malveillants.

La firme de Mountain View propose donc un site d’assistance et un outil de détection. Pour utiliser ce dernier ouvrez un compte outils pour les webmasters et ajoutez votre ou vos sites. Le moteur de recherche incite également de suivre les conseils de l’organisation stopbadeware.

15% de réduction sur l'abonnement de luxe annuel de video2brain

Même s’il n’existe pas de protection absolue, voici quelques précautions à prendre avant de recevoir le message fatidique de Google Webmaster Tools Team et de se voir blacklisté des résultats du moteur de recherche.

 Travaillez en toute sécurité

Vous accédez aussi bien à l’interface publique qu’à l’administration de votre site avec un ordinateur. Celui-ci est –il suffisamment protégé ? Sur les réseaux, comme Internet, les programmes malveillants circulent facilement d’une machine à l’autre dès lors qu’aucune précaution n’est prise. N’hésitez pas à investir dans un bon système de protection.

 Pour transférer des fichiers de votre ordinateur au serveur et vice et versa utilisez un accès FTP sécurisé. Vérifiez que votre hébergeur propose le mode SSH ou SFTP, puis avec un client comme Filezilla sélectionnez dans les options générales le protocole SFTP –SSH, les données transmises seront alors cryptées.

Sauvegardez, sauvegardez et sauvegardez toujours

Votre site est-il sauvegardé et à quelle fréquence ? Votre hébergeur propose-t-il un système de restauration, avec quelle antériorité à J-x ou S-x ? Attention généralement ce sont les fichiers que vous récupérez, pas les données qui sont pourtant aussi la cible idéale des agresseurs.

Je vous conseille d’effectuer une sauvegarde saine de votre site Joomla, fichiers et base SQL avec l’excellent Akeeba Backup, puis de la transférer en lieu sûr avec une connexion SFTP. Et de faire ensuite des sauvegardes régulières.

La version professionnelle Akeeba Backup gère notamment les connexions sécurisées, permet de programmer les sauvegardes et de les transférer sur un serveur cloud de type Amazon S3 ou Dropbox.

Vérifiez vos sources

Avant d’installer des composants dans votre site examinez leur origine. Personnellement j’utilise toujours le répertoire des extensions Joomla ou JED. Plus de 9000 y sont disponibles et les fichiers suspects en sont rapidement retirés.

Les templates sont également sensibles aux failles de sécurité. Ils contiennent du PHP, des fichiers Javascript. Il est alors facile d’y glisser du code malveillant. Méfiez-vous des offres alléchantes et souvent gratuites, faites plutôt appel à des éditeurs renommés et sérieux.

Faites le ménage des extensions inutiles

Avec Joomla, composagestion des extensions joomlants, modules, plugins, templates permettent de personnaliser son site. Il arrive de les installer, les essayer, puis les désactiver et les oublier. Ces extensions, occupent de la place et peuvent être exposées aux attaques surtout si elles ne sont pas mises à jour.

Désinstallez les extensions dont vous ne vous servez pas, en ayant au préalable effectué une sauvegarde.

Rendez-vous dans le panneau d’administration, cliquez le menu Extensions, Gestion des extensions et Gestion dans la barre latérale gauche.
Filtrez ensuite par statut en sélectionnant « Désactivé ». Commencez à désinstaller les packages en filtrant Paquet dans le déroulant type, puis faites de même pour les autres types.

Certaines extensions ne peuvent être désinstallées, car utiles au système. Elles sont identifiées par le bouton cadenas. D’autres peuvent être utiles, comme par exemple l’authentification en deux étapes - Google Authenticator, dont nous parlerons dans le prochain article. La suppression d’une extension doit être un acte réfléchi. En cas de doute demandez conseil à un ami.

Mettez à jour Joomla et vos extensions

Un dernier point essentiel concernant la sécurité d’un site utilisant un CMS comme Joomla et la mise à niveau du système est des extensions.
Au fil des versions les mises à jour de Joomla ont été largement facilitées. Vous êtes prévenu sur le panneau d’administration d’une nouvelle version, il suffit de cliquer sur le bouton Mettre à jour. Le transfert se fait à avec le protocole HTTP, il existe une alternative FTP, et l’installation est automatique.

miseajourjoomla s

Il en est de même pour les extensions qui utilisent la fonctionnalité de mise à jour automatique de Joomla.
A partir du panneau d’administration, tout en bas à gauche dans le groupe Maintenance cliquez sur Mises à jour disponible.
Vérifiez si les sites sont activés en cliquant sur Sites de mise à jour dans la barre latérale.
Cliquez enfin sur Mises à jour pour revenir au gestionnaire. Pour afficher la totalité des mises à jour il peut être nécessaire de purger le cache et rechercher les mises à jour.

15% de réduction sur l'abonnement de luxe annuel de video2brain

Toutes les extensions n’utilisent pas cette procédure. Vous devez alors vous rendre sur le site officiel du composant. Si possible, vous abonner au flux RSS afin d’être tenu informé des nouvelles versions et effectuer une mise à jour manuelle, en téléchargeant et installant le package.

Avant toute mise à jour assurez-vous de la compatibilité des extensions installées et effectuez une sauvegarde avant et après.

Avec un peu de bon sens et des exercices réguliers vous pouvez maintenant maintenir votre site en bonne santé.

Dans le prochain article je vous propose d’aborder la protection par mots de passe.

Besoin d'une formations sur la sécurité Joomla, d'une assistance, contactez-moi

Je vous invite à vous inscrire aux ateliers sécurité animés par Christophe Avonture au Joomladay de Nice

10 mai 10 :10 Atelier la sécurité et Joomla
10 mai 14:40 Atelier aeSecure

15% de réduction sur l'abonnement de luxe annuel de video2brain

0
0
0
s2sdefault