Ces conseils vous seront très utiles pour prévenir un grand nombre d’attaques répandues dans le web, qui touchent des sites propulsés par ce CMS Open Source. En plus de nos conseils, la documentation officielle offre une importante checklist de sécurité, à lire par tous les développeurs qui souhaitent utiliser Joomla.

#1 – Mettez votre installation Joomla régulièrement à jour

On ne le répétera jamais assez, la mise à jour régulière du CMS Joomla est indispensable pour la sécurité de votre site, l’équipe Joomla fournit régulièrement des mises à jour qui comprennent des correctifs de sécurité. Pensez également à mettre à jour vos composants, modules et plug-ins.

Pour vous tenir informé des mises à jour de Joomla, vous pouvez vous abonner à ce flux RSS officiel.

#2 – Personnalisez votre login et mot de passe

Pendant l’installation de Joomla, l’identifiant admin est attribué par défaut au propriétaire du site, ce compte est Super Administrateur, qui a donc tous les droits sur le site. Il est recommandé de le modifier par un identifiant de votre choix.

Concernant le mot de passe, les règles élémentaires à suivre sont de le créer en 8 caractères ou plus, y utiliser des chiffres, caractères spéciaux et lettres en majuscule/minuscule. Il existe des outils en ligne qui vous permettent de générer rapidement des mots de passe comme le site Strong password generator.

#3 – Sauvegardez votre site et votre base de données de façon régulière

Sauvegarder régulièrement vos fichiers via FTP est une action recommandée, mais le plus important reste à sauvegarder votre base de données Joomla de façon continue, vous pouvez le faire à partir de PHPMyAdmin en format .sql, la taille de ce fichier dépendra du nombre d’informations contenues sur votre site.

Vous pouvez également effectuer la sauvegarde entière ou partielle de votre site web, en utilisant la fonction de sauvegarde de cPanel offerte à nos clients sur tous nos packs d’hébergement.

Gardez  vos fichiers générés bien en sécurité, il vous sera très utile en cas de problème.

#4 – Utilisez des extension utiles pour la sécurité

• jSecure sécurise l’accès à la console d’administration de joomla par le biais d’une clé à rentrer dans l’url d’accès au bandeau d’administration joomla (payante).
• Akeeba backup est une extension qui permet de créer des copies de sauvegarde ou la restauration facile de votre site Joomla.
• JMonitoring est utile pour les webmasters qui ont plusieurs sites sous Joomla, cette extension vous alerte en cas de sortie de nouvelle version de Joomla ou des extensions installées sur vos sites.

#5 – Changez le préfixe de votre base de données Joomla

L’une des recommandations officielles Joomla, est la modification du préfixe par défaut des tables de votre base de données, pendant l’installation du CMS, il vous propose jos_ comme préfixe par défaut, n’hésitez pas à le modifier et utiliser un préfixe de votre choix.

Vous avez déjà installé Joomla avec le préfixe jos_ ? pas de problème, vous pouvez le modifier manuellement en deux étapes (opération réservée aux développeurs confirmés) :

• Modifier le nom de toutes les tables sur PHPMyAdmin en remplaçant jos_ par votrePrefixe_
• Modifier manuellement le fichier configuration.php (sur la racine de votre site web) en remplaçant jos_ par votrePrefixe_  dans la variable $dbprefix

#6 – Utilisez le bon CHMOD pour vos dossiers et fichiers

La configuration CHMOD idéale pour votre site Joomla :

• Fichiers PHP : 644
• Fichiers de configuration : 400
• Autres dossiers : 755

Vous pouvez effectuer le CHMOD des fichiers et dossiers en utilisant votre client FTP.

#7 – N’utilisez pas trop les iFrames

Joomla propose des menus ou des modules qui sont installés sur des iFrames afin d’inclure du contenu externe directement sur le site. Cette pratique rend votre site web à la merci de ce contenu non vérifié et dont vous ne maitrisez pas tous les aspects de sécurité.

#8 – Téléchargez Joomla du site officiel

Ne téléchargez jamais Joomla à partir de sites non officiels,  utilisez plutôt les fichiers d’installation téléchargés des sites Joomla.fr et Joomla.org.

#9 – Installer des extensions de confiance

Joomla vous permet d’étendre ses fonctionnalités à travers des extensions développées par des développeurs tiers dont une partie ne se soucie pas beaucoup de la sécurité, prenez l’habitude de télécharger les extensions à partir du site officiel Joomla :

• Toutes les extensions sur Joomla.org
• Les extensions en français sur Joomla.fr

Joomla fournit également une liste des extensions vulnérables sur sa documentation officielle.

#10 – Supprimez les fichiers et dossiers non utilisés

Après chaque installation de Joomla, supprimer le dossier d’installation et ne vous contentez pas de le renommer, supprimez également tous les fichiers non utilisés de votre template.

#11 – Visitez les forums officiels de sécurité sur joomla.fr

Des forums spéciaux qui traitent de la sécurité du CMS Joomla sont disponibles sur le site officiel Joomla.fr, voici leurs liens directs :

• Sécurité Joomla 1.5.x et ultérieures
• Sécurité Joomla 1.6.x / 1.7.x

Nous vous présentons sur ce billet, une série de conseils et astuces vous permettant de mieux sécuriser votre site WordPress, ou limiter les dégâts potentiels.

#1 – Gardez votre installation WordPress à jour

90% des sites web qui se font pirater sont des sites dont les webmasters n’ont pas fait de mise à jour pendant des semaines ou des mois, les équipes WP fournissent des mises à jour régulières, qui comprennent en grande partie des correctifs de sécurité, il en va de même pour les plugins qui doivent également être mis à jour régulièrement.

Notez que WordPress offre un système de mise à jour et de réinstallation entièrement automatisé. Une notification est disponible sur votre tableau de bord à chaque fois qu’une mise à jour est disponible, suivez-là! et en deux clic, votre mise à jour sera installée.

#2 – Bien choisir son login et mot de passe

Au début de votre installation WordPress, évitez de créer votre compte avec le login par défaut “admin”, choisissez plutôt un nom générique à votre blog.

Concernant le mot de passe, les règles élémentaires à suivre sont de le créer en 8 caractères ou plus, y utiliser des chiffres, caractères spéciaux et lettres en majuscule/minuscule. Il existe des outils en ligne qui vous permettent de générer rapidement des mots de passe comme le site Strong password generator.

#3 – Utilisez les clés secrètes dans wp-config.php

Vous avez la possibilité d’inclure des clés secrètes dans le fichier wp-config.php, comme suit :

define('AUTH_KEY', '{zSq`#=nO*rE~~#;3.Z{3Bm_x7; A`>m_B%9');
define('SECURE_AUTH_KEY', '#,1-PL;:KBGqbsm7~P3>_W?g![L1nc?kC');
define('LOGGED_IN_KEY', 'NbwnZfZ_4?i%#h8sgmtKeOm;Tki+2g}NLi+T9');

Vous pouvez générer des clés aléatoires à l’aide de ce lien : https://api.wordpress.org/secret-key/1.1/

#4 – Protégez votre fichier wp-config.php

Modifiez votre fichier .htaccess situé à la racine de votre serveur FTP en y ajoutant les lignes ci-dessous. Ces commandes empêcheront un hacker de récupérer votre identifiant et mot de passe MySQL en cas de problèmes avec PHP.

<FilesMatch ^wp-config.php$>
deny from all
</FilesMatch>

Vous pouvez renforcer la sécurité de ce fichier en le mettant sous CHMOD 400 (Lecture pour le propriétaire), ceci interdira sa lecture par le public en cas de problème PHP.

#5 – Modifiez le préfixe des tables WP

Le préfixe wp_ est proposé au début de l’installation WordPress, il est préférable de le modifier en n’importe quel autre préfixe.

#6 – Sauvegardez régulièrement votre site ou blog WordPress

Pensez à effectuer une sauvegarde régulière de votre site web, WP est livré avec un outil d’exportation qui sauvegarde tout votre site en un seul fichier XML. Il est disponible sur le menu Outils > Exporter. Cette opération sauvegarde les articles, pages, commentaires, champs personnalisés, termes, menus et contenus personnalisés.

Vous pouvez également effectuer la sauvegarde entière ou partielle de votre site web, en utilisant la fonction de sauvegarde de cPanel offerte à nos clients sur tous nos packs d’hébergement.

Une solution payante de sauvegarde spécial WP VaultPress est aussi disponible, créée par Automattic (la société éditrice de WordPress).

#7 – Augmentez votre sécurité avec des plugins spécialisés

• Login LockDown est un plugin qui vous protège contre des attaques de type Brut Force en faisant diminuer le nombre d’essai de login/password sur votre page de connexion.
• Secure WordPress est un plugin complet qui permet d’activer des fonctions spéciales pour sécuriser au maximum votre blog ou site sous WP.
• WP Security Scan vous permets de tester la vulnérabilité de votre installation WordPress et vous suggère des corrections à effectuer.

#8 – N’utilisez que les plugins téléchargeables sur le site officiel WordPress

Des milliers de plugins sont disponibles pour WordPress, cependant, gardez la bonne habitude les choisir et les télécharger à partir du Plugin Directory officiel de WordPress, ou bien à partir de votre tableau de bord au menu Plugin > Ajouter.

• Lien vers l’article : http://dialek.wordpress.com/2010/02/21/quel-est-le-meilleur-hebergeur-web-marocain

Nous essayons chez ADK Media, de garder une qualité de service et de support technique optimale, couplée à des offres répondant à tous les besoins et à toutes les bourses.

Nous avons donc l’honneur de vous présenter nos deux nouveaux espaces web :

• Adk-media.info : L’aide en ligne de nos clients.
• Adk-media.org : le blog officiel de l’agence ADK Media.

En attendant d’autres nouvelles et d’autres surprises, nous vous souhaitons une bonne lecture et la bienvenue sur nos nouveaux espaces.