Transcript
Page 1: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

.:: La sécurité des sites Joomla ::.

Comment l'aborder, les points essentielsComment l'aborder, les points essentiels

Page 2: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Sécurité web - Généralités

Les biens les plus précieux d’un site web :

– ses contenus (articles, commentaires…)

– ses fichiers originaux (sons, photos, vidéos)

– sa base membres/clients

Le « but du jeu » est de garderle site en ligne et de conserverl’intégrité des données…

Page 3: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Sécurité - Généralités

Les risques peuvent venir de l’extérieur (pirate, virus, hacker…)

Mais bien souvent le risque est interne !

La faute qui provoque la faille n’est pas forcément volontaire

Page 4: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Sécurité - Généralités

Origine des risques :

Attaque malveillante

Panne matérielle

Panne logicielle

Incident de l’environnement(feu, inondation, orage…)

Erreur humaine

Page 5: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Sécurité - Généralités

Se protéger doit devenir unréflexe

Toutes les personnes quigèrent le site doivent y être sensibilisées

La responsabilité du chef d’entreprise ou du directeur de publicationpeut être engagéepénalement ou civilementArt. 226-17 du code pénal (pour les données personnelles) et 1383 du code civil (responsablepar négligence ou imprudence…)(entre autres…)

Page 6: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Sécurité - Généralités

On compare souvent la sécurité à une chaîne :

Le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible.

Page 7: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Sécurité matérielle

Sécurité physique des machines

– Attention au choix de l’hébergeur

Sauvegardes des données

Page 8: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Sécurité logicielle

En local

Sur le serveur

Page 9: Sécurité Web - Les bonnes pratiques pour Joomla

Accès FTP sécurisés

Si votre hébergeur le permet, utilisez une connexion FTP sécurisée (sftp)

– Les communications sont cryptées entre votre PC et votre serveur

– Les sniff sont inefficaces !

Ne donnez pas les codes FTP principaux à tous les intervenants

– Limitez les accès aux répertoires de travail réels

– Seuls les super admins ont besoin des accès complets

Joomlapero – 29 novembre 2011

Page 10: Sécurité Web - Les bonnes pratiques pour Joomla

Configurez les permissions

Objectif : empêcher des modifications du code de Joomla par des personnes non autorisées

Préconisations pour une install standard de Joomla :

– Répertoire racine : 750

– Fichiers : 644

– Répertoires : 755

Joomlapero – 29 novembre 2011

Page 11: Sécurité Web - Les bonnes pratiques pour Joomla

Installation et sécurisation

Installer Joomla normalement (utiliser un préfixe différents de jos_ pour les noms des tables de la base de données)

Remplacer le superadmin par défaut (admin)

Déplacer les fichiers sensibles hors de la racine du site web

Utiliser JSecure (9,99$) ou Secure Authentication (gratuit) pour modifier l’url d’accès à l’administration

Mettre en place une procédure de sauvegarde.

Joomlapero – 29 novembre 2011

Page 12: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Les mots de passe

Un bon mot de passe est un mot de passe fort, qui sera difficile à retrouver même à l'aide d'outils automatisés mais facile à retenir.

Pour s’amuser un peu…

– Méthode phonétique Exemple « J'ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am.

– Méthode des premières lettresExemple, la citation « un tiens vaut mieux que deux tu l'auras » donnera 1tvmQ2tl'A.

A tester : How secure is my password ?

Page 13: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Sauvegarde et externalisation

Les sauvegardes permettent de retrouver des données malgré les risques :

– Effacement malencontreux de données

– Bug sur mise à jour

– Attaque

Les fichiers ET la base de données de Joomla doivent être sauvegardées

Page 14: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Sauvegarde et externalisation

La sauvegarde peut être effectuée :

– Avec une extension spécifique (akeeba backup)

– Via ftp et phpmyadmin

La sauvegarde doit être régulière, la fréquence dépend des actualisations réaliséessur le site

La restauration des données doit être testée

Page 15: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Sécurité du code

Pensez à mettre à jour vos systèmes sur serveurs dédiés

Suivez et appliquez les mises à jours de Joomla

Idem pour les extensions : pensez aux mises à jour !

Consultez la liste des vulnérabilitéshttp://docs.joomla.org/Vulnerable_Extensions_List

Abonnez vous aux flux RSS de sécurité de Joomla :

– Joomla

– Extensions

Page 16: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Les extensions Joomla Choisir des extensions fiables (facile à dire)

– Ne pas installer des extensions non suivies

– Installer des versions stables (pas beta ou alpha)

– Regarder l’historique des MAJ de l’extension (nb de correctifs, nb de bugs)

– Voir la communauté autour de l’extension

Attention à l’utilisation d’extension piratées

– Risque de codes malicieux

– Ouverture de backdoor sur le site

– Pas de solution logicielle comme sur un PC

Page 17: Sécurité Web - Les bonnes pratiques pour Joomla

La réécriture d’URL en mode SEF

Optimise la visibilité du site dans les moteurs de recherche

Améliore la sécurité par la dissimulation des noms des extensions utilisées

L’extension sh404SEF apporte ces réponses mais aussi :

– permet de désactiver la balise meta « generator »

– permet de filtrer les adresses IP autorisées à se connecter au site

– est muni d’un bouclier contre plusieurs types d’attaques

Joomlapero – 29 novembre 2011

Page 18: Sécurité Web - Les bonnes pratiques pour Joomla

Joomlapero – 29 novembre 2011

Pour résumer…

S’équiper des bons outils et les mettre à jour

Avoir un système de sauvegarde

Utiliser des identifiants complexes

Utiliser les extensions officielles

Se maintenir informé des risques de sécurité

Et comme dit l’autre : "mieux vaut prévenir que guérir"


Recommended