Sécurisez facilement Joomla sans vous ruiner grâce à ces 8 conseils
En général, la méthode la plus efficace pour hacker un site Web est la plus simple et la plus directe. Lorsque l'on commence à étudier les différentes manières pour prendre le contrôle d'un site vulnérable aux attaques, on peut rapidement être déconcertés par le nombre d'approches et de solutions différentes. Le plus souvent, ce sont les methodes les plus simples qui sont mises en oeuvre en premier. Seulement si le site présente un intérêt quelconque (économique, politique, etc.), il est fort probable que d'autres méthodes plus complexes - mais aussi plus chronophages - seront utilisées pour le forcer.
Ne vous y trompez pas - il y a de très nombreuses personnes qui aimeraient mettre la main sur vos mots de passe et sur vos données. Non pas que le contenu de votre site Web les intéressent mais tout simplement pour les revendre. Les estimations les plus prudentes estiment qu'il y aurait jusqu'à quinze milliards de mots de passe volés disponibles sur le dark web. Pour éviter cela, le plus simple est encore de mettre en oeuvre des méthodes éprouvées qui permettent sinon d'empêcher, au moins de retarder et d'éviter que les données de votre site soient compromises. Pour cela, il existe des conseils simples et des pratiques quotidiennes que vous pouvez mettre en application dès maintenant pour renforcer la sécurité de votre site Web et de vos données. J'ai sélectionné huit pratiques essentielles à intégrer dans votre routine de maintenance Web afin de vous garantir une tranquillité d'esprit, de préserver la sécurité de vos données et de sécuriser Joomla efficacement.
1. Utilisez un mot de passe unique et renforcé
Commençons par ce qui me parait être la solution la plus évidente et la plus simple à mettre en place.
Alors que la grande majorité des internautes a pleinement conscience des risques liés à l'usage d'Internet grâce aux différentes affaires de violations de données qui surviennent chaque année, des millions de personnes ne prennent toujours pas la sécurité de leurs mots de passe au sérieux.
On ne le répètera jamais assez, vous NE DEVEZ JAMAIS utiliser deux mots de passe identiques. JAMAIS. Que ce soit pour vos comptes sur Internet, pour accéder à votre site Joomla ou toute autre utilisation, vous devez avoir des mots de passe UNIQUES et FORTS.
Pourquoi est-ce si important ?
Si vous utilisez plus de deux fois le même mot de passe, cela signifie que tous les comptes, les services et les sites que vous utilisez sont potentiellement compromis. C'est un peu comme si vous utilisiez la même clef pour verrouiller votre maison, votre voiture, etc.
Par ailleurs, les pirates utilisent des programmes qui vont tester plusieurs millions de combinaisons possibles jusqu'à ce que leur machine trouve la bonne combinaison. C'est ce qu'on appelle la méthode par force brute. Plus votre mot de passe est complexe, plus ces programmes auront du mal à le cracker et plus vous sécuriserez Joomla.
Le tableau qui suit vous indique le nombre maximum d'essais nécessaires pour cracker un mot de passe en fonction de sa longueur et de sa composition.
| Composition du mot de passe |
1 caractère |
3 caractères |
6 caractères |
9 caractères |
| lettres minuscules |
26 |
17 576 |
308 915 776 |
5,4 × 1012 |
| lettres minuscules et chiffres |
36 |
46 656 |
2 176 782 336 |
1,0 × 1014 |
| minuscules, majuscules et chiffres |
65 |
238 328 |
5,6 × 1010 |
1,3 × 1016 |
A la lecture de ces chiffres, vous pensez que Joomla est sécurisé en ayant un mot de passe de 9 caractères. Si l'on traduit maintenant ces chiffres en durée de résistance face à une attaque, un mot de passe de 9 caractères (comme Joomla392), c'est à dire contenant des lettres majuscules, des minuscules et des chiffres, ne résistera que 3 jours à un programme de force brute.
Comment créer un mot de passe (très) renforcé ?
La solution la plus fiable consiste à utiliser un générateur de mot de passe en veillant à prendre en compte les majuscules, les minuscules, les chiffres et les caractères spéciaux, avec une longueur minimale de 12 caractères (visez 14 ou 15 caractères). Dans ces conditions, un mot de passe tel que =*Joomla392-+ résistera 2 millions d'années.
Outil permettant de tester la force d'un mot de passe
2. Cryptez les pages de connexion
Pour faire simple, ce type de cryptage est une sorte de processus de vérification d'identité de l'utilisateur avant de lui accorder l'autorisation d'entrer sur certaines pages du site. L'un des moyens les plus simples de le faire est d'utiliser un certificat SSL, une technique relativement simple qui permet de transmettre de manière sécurisée des données sensibles - telles que l'identifiant et le mot de passe - entre le navigateur et le site.
Toutes les informations saisies sur une page de connexion seront entièrement cryptées et brouillées, ce qui signifie que quiconque serait en mesure de les intercepter ne pourrait pas les utiliser. Cette approche vous assure que les pirates ne pourront pas accéder à vos données personnelles, à vos identifiants de connexion et à celles de vos utilisateurs.
Est-ce également utile de vous préciser que Google n'aime pas les sites qui n'utilisent pas de certificat SSL ?
Pour activer le cryptage SSL afin de sécuriser Joomla, il suffit tout simplement d'activer un paramètre dans le panneau d'administration (après avoir installé le dit certificat sur le serveur du site).
3. Maintenez votre site Joomla à jour
En matière informatique, un logiciel obsolète équivaut à un logiciel non sécurisé. Les pirates vont alors cibler les sites non mis à jour pour s'attaquer aux failles de sécurité identifiées. C'est pourquoi il est AB-SO-LU-MENT ESSENTIEL d'appliquer les mise à jour de Joomla et des extensions tierces qui peuvent avoir été installées sur le site.
Ces mises à jour contiennent le plus souvent des correctifs et renforcent la sécurité globale de Joomla. En tant que propriétaire de site, il est de votre responsabilité de vous assurer que Joomla et que chaque extension que vous utilisez soient mis à jour dès que possible.
44% des CMS attaqués en 2018 n'étaient pas mis à jour. Source : Sucuri - Website Hack Trend Report 2018
4. Choisissez un hébergeur sécurisé et fiable
Tous les hébergeurs Web ne se valent pas, malheureusement. Certains prennent la sécurité au sérieux et d'autres un peu moins. Lorsque vous choisissez un hébergeur, ne vous laissez pas influencer par les tarifs mais assurez-vous d'en choisir un qui jouit d'une réputation sans faille en matière de sécurité. Vérifiez (et vérifiez à nouveau) que le prestataire que vous allez choisir fait un effort conscient pour protéger les sites Web de ses clients.
Afin de vous aider à choisir un prestataire de qualité, je vous propose cette sélection d'excellents hébergeurs pour Joomla sur lesquels vous pourrez compter.
PlanetHoster, mon hébergeur éco-logique
5. Surveillez et évitez les vulnérabilités
En dépit de vos efforts, des vulnérabilités peuvent toujours apparaître là où il n'y en avait pas auparavant. Il est donc important d'effectuer des analyses de sécurité Web régulières, approfondies et concises pour surveiller et prévenir les pannes.
Cela doit devenir un réflèxe à intégrer à votre politique de sécurité Web et doit être effectué selon un calendrier strict - une fois par mois, par exemple, ou avant le déploiement de toute nouvelle extensions dans votre site Joomla.
En soi, Joomla n'a pas de vulnérabilités car la dernière version publiée corrige toutes les failles connues au moment de sa publication. Les problèmes en la matière sont plutôt à chercher du côté des extensions dont certaines ne sont, malheureusement, pas toujours suivies par leurs développeurs. Pour vérifier si une des extensions installées sur votre site n'est pas vulnérable, vous pouvez et devez consulter la Joomla Vulnerable Extensions List.
6. Nettoyez votre site Joomla régulièrement et correctement
Non, il n'est pas possible de garantir que votre site Joomla ne sera jamais piraté. Mais cela ne doit pas vous empêcher de prendre les mesures nécessaires pour rendre la tâche aussi difficile que possible à ceux qui cherchent à vous nuire. Gardez à l'esprit que les pirates ciblent certains points d'entrée - panneau d'administration, extensions fragiles, bases de données, formulaires en ligne, etc - à votre site Joomla. Ce sont les endroits à protéger et à surveiller en priorité si vous voulez sécuriser Joomla.
C'est également une saine mesure de prévention que de nettoyer régulièrement votre site Joomla en supprimant tout ce qui ne vous est plus utile : des fichiers, des extensions ou des applications que vous n'utilisez plus. Pensez également à vider toutes les corbeilles (articles, modules, catégories, menus, etc). Cette tâche sera d'autant plus rapide à effectuer si vous adoptez une routine mensuelle ou hebdomadaire. Faire le ménage participe également à sécuriser Joomla !
7. Sauvegardez votre site Joomla régulièrement
Sauvegardez-vous régulièrement votre site Joomla ? Vous devez créer et maintenir des sauvegardes de la base de données et de tous les fichiers de votre site car vous pouvez en avoir besoin à tout moment. Les ransomwares peuvent prendre le contrôle de votre site, des données peuvent avoir été corrompues ou supprimées. Dans l'idéal, votre hébergeur Web doit être en capacité de vous fournir des sauvegardes, mais d'expérience, c'est une très bonne pratique d'effectuer également vos propres sauvegardes. De nos jours, l'espace de stockage dans le cloud est bon marché et le processus de sauvegarde est simple, il n'y a donc aucune excuse valable pour ne pas le faire.
8. Confiez la gestion technique et la sécurité de votre site Joomla à un expert
Il est probable qu'en ce qui concerne la majorité des étapes de sécurité et des meilleures pratiques décrites ci-dessus, vous serez à même d'intervenir. Cependant, il existe des détails plus fins, des vulnérabilités subtiles et de nouvelles menaces qui seront probablement mieux traitées par un professionnel maîtrisant Joomla et son éco-système. Établir une relation de travail et de confiance à long terme avec un partenaire pourrait bien être la meilleure décision que vous ayez jamais prise, sachant que les pirates informatiques sont toujours plus nombreux, armés et avertis d'année en année. En déléguant la sécurisation et la surveillance de votre site Joomla à un professionnel, vous pouvez également vous concentrer sur ce qui est réellement important pour vous.
Avant de conclure...
Puisque vous avez été un très bon public en lisant cet article jusqu'ici, je vais vous dévoiler un dernier petit secret.
Il n'est pas nécessaire d’être un.e expert.e en cybersécurité pour s'abonner aux flux RSS des meilleurs blogs du secteur. Le principal avantage en faisant cela est que vous augmenterez votre compréhension des enjeux de la protection et de la sécurisation d'un site Web et de ses données.
Il n'est pas nécessaire d'être un.e expert.e en sécurité Web pour comprendre les bases de la protection d'un site et de ses systèmes. En prenant quelques mesures simples mais efficaces, en gardant un œil sur les vulnérabilités potentielles et en vous tenant au courant des dernières actualités liées aux menaces en cours, vous aurez une compréhension suffisante pour sécuriser Joomla contre la majorité des attaques.
Si toutes ces explications et tous ces conseils ne vous suffisent toujours pas, n'hésitez pas à me contacter afin que nous puissions échanger librement.
Sécurisez facilement Joomla sans vous ruiner grâce à ces 8 conseils
En général, la méthode la plus efficace pour hacker un site Web est la plus simple et la plus directe. Lorsque l'on commence à étudier les différentes manières pour prendre le contrôle d'un site vulnérable aux attaques, on peut rapidement être déconcertés par le nombre d'approches et de solutions différentes. Le plus souvent, ce sont les methodes les plus simples qui sont mises en oeuvre en premier. Seulement si le site présente un intérêt quelconque (économique, politique, etc.), il est fort probable que d'autres méthodes plus complexes - mais aussi plus chronophages - seront utilisées pour le forcer.
Ne vous y trompez pas - il y a de très nombreuses personnes qui aimeraient mettre la main sur vos mots de passe et sur vos données. Non pas que le contenu de votre site Web les intéressent mais tout simplement pour les revendre. Les estimations les plus prudentes estiment qu'il y aurait jusqu'à quinze milliards de mots de passe volés disponibles sur le dark web. Pour éviter cela, le plus simple est encore de mettre en oeuvre des méthodes éprouvées qui permettent sinon d'empêcher, au moins de retarder et d'éviter que les données de votre site soient compromises. Pour cela, il existe des conseils simples et des pratiques quotidiennes que vous pouvez mettre en application dès maintenant pour renforcer la sécurité de votre site Web et de vos données. J'ai sélectionné huit pratiques essentielles à intégrer dans votre routine de maintenance Web afin de vous garantir une tranquillité d'esprit, de préserver la sécurité de vos données et de sécuriser Joomla efficacement.
1. Utilisez un mot de passe unique et renforcé
Commençons par ce qui me parait être la solution la plus évidente et la plus simple à mettre en place.
Alors que la grande majorité des internautes a pleinement conscience des risques liés à l'usage d'Internet grâce aux différentes affaires de violations de données qui surviennent chaque année, des millions de personnes ne prennent toujours pas la sécurité de leurs mots de passe au sérieux.
On ne le répètera jamais assez, vous NE DEVEZ JAMAIS utiliser deux mots de passe identiques. JAMAIS. Que ce soit pour vos comptes sur Internet, pour accéder à votre site Joomla ou toute autre utilisation, vous devez avoir des mots de passe UNIQUES et FORTS.
Pourquoi est-ce si important ?
Si vous utilisez plus de deux fois le même mot de passe, cela signifie que tous les comptes, les services et les sites que vous utilisez sont potentiellement compromis. C'est un peu comme si vous utilisiez la même clef pour verrouiller votre maison, votre voiture, etc.
Par ailleurs, les pirates utilisent des programmes qui vont tester plusieurs millions de combinaisons possibles jusqu'à ce que leur machine trouve la bonne combinaison. C'est ce qu'on appelle la méthode par force brute. Plus votre mot de passe est complexe, plus ces programmes auront du mal à le cracker et plus vous sécuriserez Joomla.
Le tableau qui suit vous indique le nombre maximum d'essais nécessaires pour cracker un mot de passe en fonction de sa longueur et de sa composition.
| Composition du mot de passe |
1 caractère |
3 caractères |
6 caractères |
9 caractères |
| lettres minuscules |
26 |
17 576 |
308 915 776 |
5,4 × 1012 |
| lettres minuscules et chiffres |
36 |
46 656 |
2 176 782 336 |
1,0 × 1014 |
| minuscules, majuscules et chiffres |
65 |
238 328 |
5,6 × 1010 |
1,3 × 1016 |
A la lecture de ces chiffres, vous pensez que Joomla est sécurisé en ayant un mot de passe de 9 caractères. Si l'on traduit maintenant ces chiffres en durée de résistance face à une attaque, un mot de passe de 9 caractères (comme Joomla392), c'est à dire contenant des lettres majuscules, des minuscules et des chiffres, ne résistera que 3 jours à un programme de force brute.
Comment créer un mot de passe (très) renforcé ?
La solution la plus fiable consiste à utiliser un générateur de mot de passe en veillant à prendre en compte les majuscules, les minuscules, les chiffres et les caractères spéciaux, avec une longueur minimale de 12 caractères (visez 14 ou 15 caractères). Dans ces conditions, un mot de passe tel que =*Joomla392-+ résistera 2 millions d'années.
Outil permettant de tester la force d'un mot de passe
2. Cryptez les pages de connexion
Pour faire simple, ce type de cryptage est une sorte de processus de vérification d'identité de l'utilisateur avant de lui accorder l'autorisation d'entrer sur certaines pages du site. L'un des moyens les plus simples de le faire est d'utiliser un certificat SSL, une technique relativement simple qui permet de transmettre de manière sécurisée des données sensibles - telles que l'identifiant et le mot de passe - entre le navigateur et le site.
Toutes les informations saisies sur une page de connexion seront entièrement cryptées et brouillées, ce qui signifie que quiconque serait en mesure de les intercepter ne pourrait pas les utiliser. Cette approche vous assure que les pirates ne pourront pas accéder à vos données personnelles, à vos identifiants de connexion et à celles de vos utilisateurs.
Est-ce également utile de vous préciser que Google n'aime pas les sites qui n'utilisent pas de certificat SSL ?
Pour activer le cryptage SSL afin de sécuriser Joomla, il suffit tout simplement d'activer un paramètre dans le panneau d'administration (après avoir installé le dit certificat sur le serveur du site).
3. Maintenez votre site Joomla à jour
En matière informatique, un logiciel obsolète équivaut à un logiciel non sécurisé. Les pirates vont alors cibler les sites non mis à jour pour s'attaquer aux failles de sécurité identifiées. C'est pourquoi il est AB-SO-LU-MENT ESSENTIEL d'appliquer les mise à jour de Joomla et des extensions tierces qui peuvent avoir été installées sur le site.
Ces mises à jour contiennent le plus souvent des correctifs et renforcent la sécurité globale de Joomla. En tant que propriétaire de site, il est de votre responsabilité de vous assurer que Joomla et que chaque extension que vous utilisez soient mis à jour dès que possible.
44% des CMS attaqués en 2018 n'étaient pas mis à jour. Source : Sucuri - Website Hack Trend Report 2018
4. Choisissez un hébergeur sécurisé et fiable
Tous les hébergeurs Web ne se valent pas, malheureusement. Certains prennent la sécurité au sérieux et d'autres un peu moins. Lorsque vous choisissez un hébergeur, ne vous laissez pas influencer par les tarifs mais assurez-vous d'en choisir un qui jouit d'une réputation sans faille en matière de sécurité. Vérifiez (et vérifiez à nouveau) que le prestataire que vous allez choisir fait un effort conscient pour protéger les sites Web de ses clients.
Afin de vous aider à choisir un prestataire de qualité, je vous propose cette sélection d'excellents hébergeurs pour Joomla sur lesquels vous pourrez compter.
PlanetHoster, mon hébergeur éco-logique
5. Surveillez et évitez les vulnérabilités
En dépit de vos efforts, des vulnérabilités peuvent toujours apparaître là où il n'y en avait pas auparavant. Il est donc important d'effectuer des analyses de sécurité Web régulières, approfondies et concises pour surveiller et prévenir les pannes.
Cela doit devenir un réflèxe à intégrer à votre politique de sécurité Web et doit être effectué selon un calendrier strict - une fois par mois, par exemple, ou avant le déploiement de toute nouvelle extensions dans votre site Joomla.
En soi, Joomla n'a pas de vulnérabilités car la dernière version publiée corrige toutes les failles connues au moment de sa publication. Les problèmes en la matière sont plutôt à chercher du côté des extensions dont certaines ne sont, malheureusement, pas toujours suivies par leurs développeurs. Pour vérifier si une des extensions installées sur votre site n'est pas vulnérable, vous pouvez et devez consulter la Joomla Vulnerable Extensions List.
6. Nettoyez votre site Joomla régulièrement et correctement
Non, il n'est pas possible de garantir que votre site Joomla ne sera jamais piraté. Mais cela ne doit pas vous empêcher de prendre les mesures nécessaires pour rendre la tâche aussi difficile que possible à ceux qui cherchent à vous nuire. Gardez à l'esprit que les pirates ciblent certains points d'entrée - panneau d'administration, extensions fragiles, bases de données, formulaires en ligne, etc - à votre site Joomla. Ce sont les endroits à protéger et à surveiller en priorité si vous voulez sécuriser Joomla.
C'est également une saine mesure de prévention que de nettoyer régulièrement votre site Joomla en supprimant tout ce qui ne vous est plus utile : des fichiers, des extensions ou des applications que vous n'utilisez plus. Pensez également à vider toutes les corbeilles (articles, modules, catégories, menus, etc). Cette tâche sera d'autant plus rapide à effectuer si vous adoptez une routine mensuelle ou hebdomadaire. Faire le ménage participe également à sécuriser Joomla !
7. Sauvegardez votre site Joomla régulièrement
Sauvegardez-vous régulièrement votre site Joomla ? Vous devez créer et maintenir des sauvegardes de la base de données et de tous les fichiers de votre site car vous pouvez en avoir besoin à tout moment. Les ransomwares peuvent prendre le contrôle de votre site, des données peuvent avoir été corrompues ou supprimées. Dans l'idéal, votre hébergeur Web doit être en capacité de vous fournir des sauvegardes, mais d'expérience, c'est une très bonne pratique d'effectuer également vos propres sauvegardes. De nos jours, l'espace de stockage dans le cloud est bon marché et le processus de sauvegarde est simple, il n'y a donc aucune excuse valable pour ne pas le faire.
8. Confiez la gestion technique et la sécurité de votre site Joomla à un expert
Il est probable qu'en ce qui concerne la majorité des étapes de sécurité et des meilleures pratiques décrites ci-dessus, vous serez à même d'intervenir. Cependant, il existe des détails plus fins, des vulnérabilités subtiles et de nouvelles menaces qui seront probablement mieux traitées par un professionnel maîtrisant Joomla et son éco-système. Établir une relation de travail et de confiance à long terme avec un partenaire pourrait bien être la meilleure décision que vous ayez jamais prise, sachant que les pirates informatiques sont toujours plus nombreux, armés et avertis d'année en année. En déléguant la sécurisation et la surveillance de votre site Joomla à un professionnel, vous pouvez également vous concentrer sur ce qui est réellement important pour vous.
Avant de conclure...
Puisque vous avez été un très bon public en lisant cet article jusqu'ici, je vais vous dévoiler un dernier petit secret.
Il n'est pas nécessaire d’être un.e expert.e en cybersécurité pour s'abonner aux flux RSS des meilleurs blogs du secteur. Le principal avantage en faisant cela est que vous augmenterez votre compréhension des enjeux de la protection et de la sécurisation d'un site Web et de ses données.
Il n'est pas nécessaire d'être un.e expert.e en sécurité Web pour comprendre les bases de la protection d'un site et de ses systèmes. En prenant quelques mesures simples mais efficaces, en gardant un œil sur les vulnérabilités potentielles et en vous tenant au courant des dernières actualités liées aux menaces en cours, vous aurez une compréhension suffisante pour sécuriser Joomla contre la majorité des attaques.
Si toutes ces explications et tous ces conseils ne vous suffisent toujours pas, n'hésitez pas à me contacter afin que nous puissions échanger librement.
