Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Sécurité Web - Les bonnes pratiques pour Joomla

1,622 views

Published on

Présentation généraliste de la sécurité des sites web, et focus sur les bonnes pratiques de sécurité pour les sites réalisés avec le CMS Joomla

Published in: Technology
  • Be the first to comment

Sécurité Web - Les bonnes pratiques pour Joomla

  1. 1. Joomlapero – 29 novembre 2011 .:: La sécurité des sites Joomla ::. Comment l'aborder, les points essentiels
  2. 2. Sécurité web - Généralités <ul><li>Les biens les plus précieux d’un site web : </li></ul><ul><ul><li>ses contenus (articles, commentaires…) </li></ul></ul><ul><ul><li>ses fichiers originaux (sons, photos, vidéos) </li></ul></ul><ul><ul><li>sa base membres/clients </li></ul></ul><ul><li>Le « but du jeu » est de garder le site en ligne et de conserver l’intégrité des données… </li></ul>Joomlapero – 29 novembre 2011
  3. 3. Sécurité - Généralités <ul><li>Les risques peuvent venir de l’extérieur (pirate, virus, hacker…) </li></ul><ul><li>Mais bien souvent le risque est interne ! </li></ul><ul><li>La faute qui provoque la faille n’est pas forcément volontaire </li></ul>Joomlapero – 29 novembre 2011
  4. 4. Sécurité - Généralités <ul><li>Origine des risques : </li></ul><ul><li>Attaque malveillante </li></ul><ul><li>Panne matérielle </li></ul><ul><li>Panne logicielle </li></ul><ul><li>Incident de l’environnement (feu, inondation, orage…) </li></ul><ul><li>Erreur humaine </li></ul>Joomlapero – 29 novembre 2011
  5. 5. Sécurité - Généralités <ul><li>Se protéger doit devenir un réflexe </li></ul><ul><li>Toutes les personnes qui gèrent le site doivent y être sensibilisées </li></ul><ul><li>La responsabilité du chef d’entreprise ou du directeur de publication peut être engagée pénalement ou civilement Art. 226-17 du code pénal (pour les données personnelles) et 1383 du code civil (responsable par négligence ou imprudence…) (entre autres…) </li></ul>Joomlapero – 29 novembre 2011
  6. 6. Sécurité - Généralités <ul><li>On compare souvent la sécurité à une chaîne : Le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible . </li></ul>Joomlapero – 29 novembre 2011
  7. 7. Sécurité matérielle <ul><li>Sécurité physique des machines </li></ul><ul><ul><li>Attention au choix de l’hébergeur </li></ul></ul><ul><li>Sauvegardes des données </li></ul>Joomlapero – 29 novembre 2011
  8. 8. Sécurité logicielle <ul><li>En local </li></ul><ul><li>Sur le serveur </li></ul>Joomlapero – 29 novembre 2011
  9. 9. Accès FTP sécurisés <ul><li>Si votre hébergeur le permet, utilisez une connexion FTP sécurisée (sftp) </li></ul><ul><ul><li>Les communications sont cryptées entre votre PC et votre serveur </li></ul></ul><ul><ul><li>Les sniff sont inefficaces ! </li></ul></ul><ul><li>Ne donnez pas les codes FTP principaux à tous les intervenants </li></ul><ul><ul><li>Limitez les accès aux répertoires de travail réels </li></ul></ul><ul><ul><li>Seuls les super admins ont besoin des accès complets </li></ul></ul>Joomlapero – 29 novembre 2011
  10. 10. Configurez les permissions <ul><li>Objectif : empêcher des modifications du code de Joomla par des personnes non autorisées </li></ul><ul><li>Préconisations pour une install standard de Joomla : </li></ul><ul><ul><li>Répertoire racine : 750 </li></ul></ul><ul><ul><li>Fichiers : 644 </li></ul></ul><ul><ul><li>Répertoires : 755 </li></ul></ul>Joomlapero – 29 novembre 2011
  11. 11. Installation et sécurisation <ul><li>Installer Joomla normalement (utiliser un préfixe différents de jos_ pour les noms des tables de la base de données) </li></ul><ul><li>Remplacer le superadmin par défaut (admin) </li></ul><ul><li>Déplacer les fichiers sensibles hors de la racine du site web </li></ul><ul><li>Utiliser JSecure (9,99$) ou Secure Authentication (gratuit) pour modifier l’url d’accès à l’administration </li></ul><ul><li>Mettre en place une procédure de sauvegarde. </li></ul>Joomlapero – 29 novembre 2011
  12. 12. Les mots de passe <ul><li>Un bon mot de passe est un mot de passe fort, qui sera difficile à retrouver même à l'aide d'outils automatisés mais facile à retenir. </li></ul><ul><li>Pour s’amuser un peu… </li></ul><ul><ul><li>Méthode phonétique Exemple « J'ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am. </li></ul></ul><ul><ul><li>Méthode des premières lettres Exemple, la citation « un tiens vaut mieux que deux tu l'auras » donnera 1tvmQ2tl'A. </li></ul></ul><ul><li>A tester : How secure is my password ? </li></ul>Joomlapero – 29 novembre 2011
  13. 13. Sauvegarde et externalisation <ul><li>Les sauvegardes permettent de retrouver des données malgré les risques : </li></ul><ul><ul><li>Effacement malencontreux de données </li></ul></ul><ul><ul><li>Bug sur mise à jour </li></ul></ul><ul><ul><li>Attaque </li></ul></ul><ul><li>Les fichiers ET la base de données de Joomla doivent être sauvegardées </li></ul>Joomlapero – 29 novembre 2011
  14. 14. Sauvegarde et externalisation <ul><li>La sauvegarde peut être effectuée : </li></ul><ul><ul><li>Avec une extension spécifique (akeeba backup) </li></ul></ul><ul><ul><li>Via ftp et phpmyadmin </li></ul></ul><ul><li>La sauvegarde doit être régulière, la fréquence dépend des actualisations réalisées sur le site </li></ul><ul><li>La restauration des données doit être testée </li></ul>Joomlapero – 29 novembre 2011
  15. 15. Sécurité du code <ul><li>Pensez à mettre à jour vos systèmes sur serveurs dédiés </li></ul><ul><li>Suivez et appliquez les mises à jours de Joomla </li></ul><ul><li>Idem pour les extensions : pensez aux mises à jour ! </li></ul><ul><li>Consultez la liste des vulnérabilités http://docs.joomla.org/Vulnerable_Extensions_List </li></ul><ul><li>Abonnez vous aux flux RSS de sécurité de Joomla : </li></ul><ul><ul><li>Joomla </li></ul></ul><ul><ul><li>Extensions </li></ul></ul>Joomlapero – 29 novembre 2011
  16. 16. Les extensions Joomla <ul><li>Choisir des extensions fiables (facile à dire) </li></ul><ul><ul><li>Ne pas installer des extensions non suivies </li></ul></ul><ul><ul><li>Installer des versions stables (pas beta ou alpha) </li></ul></ul><ul><ul><li>Regarder l’historique des MAJ de l’extension (nb de correctifs, nb de bugs) </li></ul></ul><ul><ul><li>Voir la communauté autour de l’extension </li></ul></ul><ul><li>Attention à l’utilisation d’extension piratées </li></ul><ul><ul><li>Risque de codes malicieux </li></ul></ul><ul><ul><li>Ouverture de backdoor sur le site </li></ul></ul><ul><ul><li>Pas de solution logicielle comme sur un PC </li></ul></ul>Joomlapero – 29 novembre 2011
  17. 17. La réécriture d’URL en mode SEF <ul><li>Optimise la visibilité du site dans les moteurs de recherche </li></ul><ul><li>Améliore la sécurité par la dissimulation des noms des extensions utilisées </li></ul><ul><li>L’extension sh404SEF apporte ces réponses mais aussi : </li></ul><ul><ul><li>permet de désactiver la balise meta « generator » </li></ul></ul><ul><ul><li>permet de filtrer les adresses IP autorisées à se connecter au site </li></ul></ul><ul><ul><li>est muni d’un bouclier contre plusieurs types d’attaques </li></ul></ul>Joomlapero – 29 novembre 2011
  18. 18. Pour résumer… <ul><li>S’équiper des bons outils et les mettre à jour </li></ul><ul><li>Avoir un système de sauvegarde </li></ul><ul><li>Utiliser des identifiants complexes </li></ul><ul><li>Utiliser les extensions officielles </li></ul><ul><li>Se maintenir informé des risques de sécurité </li></ul>Joomlapero – 29 novembre 2011 Et comme dit l’autre : &quot;mieux vaut prévenir que guérir&quot;

×