Re : Gérer sur le serveur ou sur le site ?

Je ne suis pas sûr que tu aies des réponses ici, sur un forum d'utilisateurs Joomla! et pas d'administrateurs de serveurs, dans la mesure où tes questions concernent la gestion de la sécurité d'un serveur et pas celle de Joomla! en particulier.

Re : Gérer sur le serveur ou sur le site ?

Bonjour,

très très intéressantes questions. des questions à débat ça !

1) Je vais pas risquer de répondre à ça c'est un coup à avoir des histoires. Par contre je t'encourage à regarder cette vidéo : http://www.nosyweb.fr/news-joomea/ha...e-serveur.html (j'espère que tu as du temps, elle dure 2h ! mais deux heures denses avec quelqu'un qui sait de quoi il parle et qui a des choses à dire)

2) Si tu vas sur le cloud, un CDN va te régler les problèmes de cache en partie (il y a toujours une latence entre les données du serveur et celles cachées sur le CDN (normal), un cache serveur en plus, on se demande bien à quoi sert un cache Joomla! en prime). Ça aussi c'est un sujet polémique

3) Je suis pas sûr de bien saisir la question : sur un serveur uniquement (et pas sur un autre) ou juste sur le serveur et pas ailleurs ? La aussi c'est question à polémique. Actuellement j'ai JCHOptimize, plus mod_pagespeed plus un brin de CDN ... Je me demande si JCHOptimize a encore quelque chose d'intéressant à faire (bon il passe en premier, mais je crois que je vais essayer de le désactiver ... pour voir)

Nota : si tu veux de la performance, c'est clair la première chose est d'éliminer le mutualisé, de trouver un bon hébergeur (je parle par expérience, sans rien faire d'autre, j'ai divisé mes temps de chargement de page par 3 en changeant d'hébergeur), et de mettre le prix dans un bon CDN

Cordialement

Re : Gérer sur le serveur ou sur le site ?

Bonjour à vous,

Désolé du retard... je ne reçois pas de notifications dans mon email alors que je me suis abonné à ce topic.

Bref, je tiens à vous remercier pour avoir pris le temps de répondre.


En fait, j'espérais trouver des utilisateurs qui ont installé des sites joomla sur des hébergements de type cloud ou dédié, afin de solliciter leur retours d'expérience sur des questions de sécurité et de performance qui demeurent aussi, je pense, la préoccupation d'administrateur de site joomla. Cependant, je vais aussi demander l'avis des administrateurs de serveur sur les forums appropriés. Merci pour la remarque RobertG .

PieceOfCake, le lien que tu m'a refilé est très intéressant. Il correspond au genre de contenu que je recherche en ce moment.

Juste sur le serveur et pas ailleurs.

D'après tes commenataires sur les questions 2 et 3, je vois qu'il ya des modules de serveur pour gérer le cache et la compression de fichiers, mais difficile de voir ce que des extensions joomla peuvent faire de façon spécifique, n'est ce pas ? Je pense que je vais commencer avec les modules de serveur et le CDN, et au besoin, éventuellement, rajouter les extensions joomla.

Concernant la sécurité, je m'en vais exploiter les informations du lien que tu m'a donné et je reviendrais vers vous.

Merci pour tes conseils .

Cordialement.

Re : Gérer sur le serveur ou sur le site ?

Si tu veux le vécu d'une personne partie d'un mutualisé pour aller sur un serveur sur le cloud (celui de siteground en l'occurrence) :


Cordialement

Re : Gérer sur le serveur ou sur le site ?

Discussion intéressante.

J'avais pensé à Siteground. Mais j'ai lu l'offre de Amazon ws qui propose des options intéressantes que Siteground n'a pas encore.

Je n'ai pas encore décidé, mais Siteground et AWS sont mes favoris en ce moment.

Cordialement.

Re : Gérer sur le serveur ou sur le site ?

Bonjour,Sur des serveurs non mutualisés (VPS, dédié, cloud), il est possible d'installer des paquets logiqiels protégeant le serveur intégralement, ainsi que des extensions Apache pour la protection des sites: mod_security (un genre de firewalll logiciel, très efficace, mais parfois complexe à configurer), pour PHP, l'extension Suhosin (en voie d'abandon, la plupart de ses sécurisations PHP étrant incluses dans la version 5.5 de PHP, mais très efficace pour les versions antérieures)
Plus largement au niveau serveur, fail2ban (attention au paramétrage) est un excellent gardien des accès SSH, FTP at Htaccess/htpasswd.
etc...

Il y a 2 écoles, celle qui préconise un double mécanisme de cache, l'autre préconisant soit un cache système (les caches Apache en particulier) et considérant qu'une surcouche de cache en PHP ne peut que conduire à de l'utilisation CPU inutile. La question, assez polémique, pourrait induire de nombreuses discussions

Si le module Apache mod_deflate est installé, activé et configuré, il se charge en général de tout. Une seconde couche de compression ne compressera rien, mais fera qu'il y aura 2 enveloppes ziplib dans les paquets, donc inflation de la taille.

La chose est en effet complexe, souvent polémique, et les choix peuvent également dépendre de la maîtrise par l'utilisateur des paquets et paramétrages d'un serveur de type Unix (Linux ou BSD). La question reste ouverte, chacun pouvant avoir des arguments probants.

La sécurité et les performances dépendent de très nombreux facteurs. Sur un serveur dédié, il est impératif que le locataire/propriétaire du serveur possède les compétences requises pour non seulement réaliser les très fréquentes mises à jour de sécurité et de versions des divers paquets installés, mais également soit capable d'analyser les logs système, gérer la sécurité globale du serveur; etc.
Pour les performances, il arrive que certains mutualisés de très haut de gamme soient plus rapides que des serveurs dédiés d'entrée de gamme, avec un OS mal configuré et pas optimisé. En règle générale, un dédié est plus véloce que du mutualisé, dans la même gamme, mais entre également en ligne de compte la qualité du peering de l'ISP, de sa bande passante globale, de la bande passante garantie du serveur, etc.

Il n'y a pas réellement de réponse à l'emporte pièce, mais une multitude, dépendant des contextes d'exploitation et de la qualité de la gestion des serveurs.

Un cloud ou un CDN peuvent ou pas, selon leur type, apporter un vrai plus. Mais une fois de plus, il convient d'en assumer et maîtriser la configuration et la maintenance.

Les offres Amazon AWS et Siteground font partie des solutions intéressantes et performantes.

Re : Gérer sur le serveur ou sur le site ?

Bonjour,

Ton poste est très intéressant jisse03, j'ai pris bonne note.

J'ai écouté la vidéo youtube avec beaucoup d'attention, et je fais encore le tri des informations collectées
Je vois que protéger à travers le site consiste surtout à faire des mises à jour du site, éviter d'installer des extensions inutiles, bien gérer ses mots de passe et faire des sauvegardes. Nous aurons peut être besoin des extensions joomla pour protéger les url, les formulaires... mais je pense que nous pouvons accomplir toutes les tâches pré citées sur un serveur.
J'ai aussi compris que les extensions joomla sont surtout installées par des webmasters qui sont en environnement mutualisé et donc ne peuvent pas accéder au serveur pour installer certains modules.

A partir du moment que nous sommes en non mutualisé, il me semble que la sécurité devrait d'abord être définie au niveau de son pc et du serveur web. Les premiers investissements devraient, à mon humble avis, être réalisés à travers ces deux niveaux (oui, parce que j'étais sur le point d'acheter Ose security Suite :100 livres, en plus d'un hébergement non mutualisé) après éventuellement investir dans les extensions joomla.


A ce sujet, j'ai récemment découvert Nginx, on dit qu'il est plus adapté pour des sites à haut trafic et donc excellent pour la performance. Nginx a aussi le module modsecurity et j'aimerais l'avoir sur un hébergement de type cloud si possible; mais comme il est récent (par rapport aux autres serveurs web) j'imagine qu'il n'y a pas encore beaucoup d'agences pouvant administrer ce type de serveur sur le cloud. Quelques références ?


Cordialement.

Re : Gérer sur le serveur ou sur le site ?

Sur un dédié ou un VPS (le cloud étant un cas particulier de VPS), se contenter de sécuriser la partie web (Apache, Nginx ou autre) en ignorant le reste revient à mettre une porte blindée, mais un simple rideau en guise de fenêtres...

La sécurité doit se penser globalement, au niveau serveur. Certaines fausses bonnes idées, comme masquer la signature serveur ou le fait qu'on utilise Joomla! ne trompent que les crackers débutants, et pas les vrais outils de cassage de sites. Ne pas prendre en compte la sécurité FTP, SSH, SMTP du serveur laisse de possibles failles béantes par lesquelles un intrus peuty prendre le contrôle complet du serveur (mécanisme de déclenchement d'une escalade des droits), et donc, sans une politique de sécurité globale, ne prenant Joomla! en compte que comme épiphénomène de la sécurisation HTTP/PHP, les résultats sont souvent peu convaincants

Nginx est un excellent serveur, qui est performant et scalable correctement, bien que d'un niveau inférieur à Apache en mode MPM.
Un hébergement de type cloud étant en fait un serveur privé virtuel avec une distribution Linux que tu gères en fait comme un serveur dédié, si cette distribution possède des paquets Nginx, rien ne t'empêche de remplacer Apache par Nginx sur ce serveur. Il existe des tutos de qualité pour réaliser des serveurs (dédiés ou VPS) bien configurés, avec déjà un bon niveau de sécurité, soit centrés en HTTP sur Apache 2.4, soit sur Nginx.

Un VPS ou un serveur Cloud (qui à part le nom sont la même bête), c'est le propriétaire qui le gère, sauf s'il souscrit un contrat en infogérance (mais là les tarifs ne sont plus les mêmes).

Re : Gérer sur le serveur ou sur le site ?

Bonjour,
il se trouve que j'ai assisté à des journées d'info AWS.

Pour ceux que ca intéresse, voici la doc fournie :



Il va sans dire que la question de la sécurité est primordiale de leur point de vue.

Re : Gérer sur le serveur ou sur le site ?

Bonjour,

ghazal, merci de partager.

Et encore merci à jisse03 pour ces précisions.

Je reviens vers vous si j'ai du nouveau.

Cordialement.