Sécurité Web - Les bonnes pratiques pour Joomla

  • Published on
    21-Jun-2015

  • View
    1.146

  • Download
    3

Embed Size (px)

DESCRIPTION

Prsentation gnraliste de la scurit des sites web, et focus sur les bonnes pratiques de scurit pour les sites raliss avec le CMS Joomla

Transcript

  • 1. Joomlapero 29 novembre 2011 .:: La scurit des sites Joomla ::. Comment l'aborder, les points essentiels

2. Scurit web - Gnralits

  • Les biens les plus prcieux dun site web :
    • ses contenus (articles, commentaires)
    • ses fichiers originaux (sons,photos, vidos)
    • sa base membres/clients
  • Le but du jeu est de garder le site en ligne et de conserver lintgrit des donnes

Joomlapero 29 novembre 2011 3. Scurit - Gnralits

  • Les risques peuvent venir de lextrieur (pirate, virus, hacker)
  • Mais bien souvent le risque est interne !
  • La faute qui provoque la faille nest pas forcment volontaire

Joomlapero 29 novembre 2011 4. Scurit - Gnralits

  • Origine des risques :
  • Attaque malveillante
  • Panne matrielle
  • Panne logicielle
  • Incident de lenvironnement (feu, inondation, orage)
  • Erreur humaine

Joomlapero 29 novembre 2011 5. Scurit - Gnralits

  • Se protger doit devenir un rflexe
  • Toutes les personnes qui grent le site doivent y tre sensibilises
  • La responsabilit du chef dentreprise ou du directeur de publication peut tre engage pnalement ou civilement Art. 226-17 du code pnal (pour les donnespersonnelles) et 1383 du code civil (responsable par ngligence ou imprudence) (entre autres)

Joomlapero 29 novembre 2011 6. Scurit - Gnralits

  • On compare souvent la scurit une chane :Le niveau de scurit d'un systme est caractris par le niveau de scurit du maillon le plus faible .

Joomlapero 29 novembre 2011 7. Scurit matrielle

  • Scurit physique des machines
    • Attention au choix de lhbergeur
  • Sauvegardes des donnes

Joomlapero 29 novembre 2011 8. Scurit logicielle

  • En local
  • Sur le serveur

Joomlapero 29 novembre 2011 9. Accs FTP scuriss

  • Si votre hbergeur le permet, utilisez une connexion FTP scurise (sftp)
    • Les communications sont cryptes entre votre PC et votre serveur
    • Les sniff sont inefficaces !
  • Ne donnez pas les codes FTP principaux tous les intervenants
    • Limitez les accs aux rpertoires de travail rels
    • Seuls les super admins ont besoin des accs complets

Joomlapero 29 novembre 2011 10. Configurez les permissions

  • Objectif : empcher des modifications du code de Joomla par des personnes non autorises
  • Prconisations pour une install standard de Joomla :
    • Rpertoire racine : 750
    • Fichiers : 644
    • Rpertoires : 755

Joomlapero 29 novembre 2011 11. Installation et scurisation

  • Installer Joomla normalement (utiliser un prfixe diffrents de jos_ pour les noms des tables de la base de donnes)
  • Remplacer le superadmin par dfaut (admin)
  • Dplacer les fichiers sensibleshors de la racine du site web
  • UtiliserJSecure(9,99$) ouSecure Authentication(gratuit) pour modifier lurl daccs ladministration
  • Mettre en place une procdure de sauvegarde.

Joomlapero 29 novembre 2011 12. Les mots de passe

  • Un bon mot de passe est un mot de passe fort, qui sera difficile retrouver mme l'aide d'outils automatiss mais facile retenir.
  • Pour samuser un peu
    • Mthode phontiqueExemple J'ai achet huit cd pour cent euros cet aprs midi deviendra ght8CD%E7am.
    • Mthode des premires lettres Exemple, la citation un tiens vaut mieux que deux tu l'auras donnera 1tvmQ2tl'A.
  • A tester :How secure is my password ?

Joomlapero 29 novembre 2011 13. Sauvegarde et externalisation

  • Les sauvegardes permettent de retrouver des donnes malgr les risques :
    • Effacement malencontreux de donnes
    • Bug sur mise jour
    • Attaque
  • Les fichiers ET la base de donnes de Joomla doivent tre sauvegardes

Joomlapero 29 novembre 2011 14. Sauvegarde et externalisation

  • La sauvegarde peut tre effectue :
    • Avec une extension spcifique (akeeba backup)
    • Via ftp et phpmyadmin
  • La sauvegarde doit tre rgulire,la frquence dpend des actualisations ralises sur le site
  • La restauration des donnesdoit tre teste

Joomlapero 29 novembre 2011 15. Scurit du code

  • Pensez mettre jourvos systmes sur serveurs ddis
  • Suivezet appliquez les mises jours de Joomla
  • Idem pour les extensions :pensez aux mises jour !
  • Consultez la liste des vulnrabilits http://docs.joomla.org/Vulnerable_Extensions_List
  • Abonnez vous aux flux RSS de scurit de Joomla :
    • Joomla
    • Extensions

Joomlapero 29 novembre 2011 16. Les extensions Joomla

  • Choisir des extensions fiables (facile dire)
    • Ne pas installer des extensions non suivies
    • Installer des versions stables (pas beta ou alpha)
    • Regarder lhistorique des MAJ de lextension (nb de correctifs, nb de bugs)
    • Voir la communaut autour de lextension
  • Attention lutilisation dextension pirates
    • Risque de codes malicieux
    • Ouverture de backdoor sur le site
    • Pas de solution logicielle comme sur un PC

Joomlapero 29 novembre 2011 17. La rcriture dURL en mode SEF

  • Optimise la visibilit du site dans les moteurs de recherche
  • Amliore la scurit par la dissimulation des noms des extensions utilises
  • Lextension sh404SEF apporte ces rponses mais aussi :
    • permet de dsactiver la balise meta generator
    • permet de filtrer les adresses IP autorises se connecter au site
    • est muni dun bouclier contre plusieurs types dattaques

Joomlapero 29 novembre 2011 18. Pour rsumer

  • Squiper des bons outils et les mettre jour
  • Avoir un systme de sauvegarde
  • Utiliser des identifiants complexes
  • Utiliser les extensions officielles
  • Se maintenir inform des risques de scurit

Joomlapero 29 novembre 2011 Et comme dit lautre :"mieux vaut prvenir que gurir"

Recommended

View more >