Sécurité et gestion des données sur Joomla

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Sécurité et gestion des données sur Joomla

    Bon, je sais qu’on parle souvent de la sécurité sur Joomla, mais avec toutes les histoires de cyberattaques qui traînent en ce moment, est-ce qu’on est vraiment en sécurité, même avec toutes les mises à jour et les extensions qu’on installe pour protéger nos sites ? Je veux dire, entre les firewalls, les plugins de sécurité, et tout le tintouin, on a parfois l’impression de tout verrouiller, mais est-ce que ça suffit vraiment ?

    En bossant sur un projet récemment, j’ai vu qu’il y avait pas mal d’infos sur les formations ou école en cybersécurité qui insistent sur le fait que même les systèmes réputés sécurisés comme Joomla peuvent avoir des failles si on ne les gère pas bien. Alors, est-ce que vous avez des astuces ou des méthodes spécifiques pour renforcer vraiment la sécurité de vos sites ? Ou est-ce qu’on doit juste accepter qu’on n’est jamais totalement à l’abri, peu importe les efforts qu’on fait?
    Dernière édition par XavierPal à 12/11/2024, 14h18

  • #2
    Bienvenue !

    A voir les attaques non déjouées de grands groupes qui utilisent pourtant des experts en sécurité pour protéger leurs sites et nos données, on ne peut pas dire que toutes les solutions de protection nous mettent totalement à l'abri, sinon de pirates pas trop agressifs, je dirai.

    L'essentiel à notre niveau est à mon sens, et en sus de ces extensions, de mots de passe complexes et autres méthodes de protection, de toujours faire les mises à jour des extensions et du noyau lors de leur publication.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #3
      Bonjour Xavier,

      Même avis conseil que Robert.
      Il faut aussi se poser la question du risque réelle par rapport aux informations et données partagés sur le site. (hébergement de données confidentiels et sensibles, ...)
      La stratégie doit être adaptée à ce risque.
      Avec les basics de mise à jours, mot de passe robuste, limitations des extensions utilisés, sauvegardes les risques sont grandement diminués.

      Bonne journée.
      JeFF

      Commentaire


      • #4
        Personnellement, j'entends plus souvent parler de sécurité Wordpress que de Joomla.

        En regardant sur le blog sucuri, ils ont mis une page mensuelle pour Wordpress : https://blog.sucuri.net/category/wordpress-security

        La majorité des failles vient des extensions, mais pas seulement.

        Donc, comme mes collègues, sauvegardes, mises à jour et bon sens sont les mamelles de la sécurité. Cloudflare ( https://www.cloudflare.com/fr-fr/ ) offre aussi un bon filtrage en amont.

        Pascal
        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

        Commentaire


        • #5
          La sécurité sur Joomla est un sujet crucial, d’autant plus dans le contexte actuel marqué par une recrudescence des cyberattaques. Cependant, il est essentiel de souligner que Joomla, tout comme d'autres CMS, met en œuvre des mesures de sécurité robustes grâce à une équipe dédiée qui réagit rapidement aux vulnérabilités. Mais la sécurité ne se limite pas seulement au CMS lui-même ; elle englobe plusieurs autres facteurs clés.

          Sécurité du CMS et des extensions
          Les mises à jour régulières de Joomla et de ses extensions sont fondamentales, mais elles ne sont qu’une partie du puzzle.

          La sécurité repose également sur une approche globale qui prend en compte l'environnement d'hébergement, les paramètres du serveur, et la gestion des accès utilisateurs. En d'autres termes, c'est un tout qu'il faut verrouiller.
          Voici quelques mesures que j'applique systématiquement dans mes projets pour renforcer la sécurité :
          1. Sécurisation de l'accès à l'administration
            L'accès à l'administration de Joomla via /administrator peut être rendu plus discret en utilisant une URL secrète. Cela limite les tentatives d'accès automatisées.
          2. Authentification à deux facteurs (2FA)
            La mise en place de la double authentification est incontournable. En plus du mot de passe, un code temporaire est envoyé par SMS ou via une application dédiée, ce qui complique l'accès non autorisé même si les identifiants sont compromis.
          3. Surveillance des mots de passe exposés
            J’utilise des outils comme l'API de Have I Been Pwned pour vérifier si des mots de passe ont déjà été exposés lors de fuites de données. En avertissant les utilisateurs, cela permet d’anticiper les risques.


          Éviter les failles humaines
          La sécurité ne repose pas uniquement sur des technologies, mais aussi sur des comportements. Les utilisateurs eux-mêmes peuvent, sans le savoir, créer des vulnérabilités. C'est pourquoi il est crucial de les former aux bonnes pratiques. Par exemple, l’utilisation d’un gestionnaire de mots de passe est souvent négligée, tout comme les risques liés au social engineering (ingénierie sociale), qui exploite la psychologie humaine plutôt que des failles techniques.

          Anticipation et gestion des incidents
          En matière de cybersécurité, anticiper est une clé. Cela inclut de :
          • Choisir un hébergement sécurisé et adapté aux besoins spécifiques de votre site.
          • Mettre en place un plan de sauvegardes régulières, testées pour garantir qu'elles puissent être restaurées efficacement en cas de problème.
          • Configurer des alertes de sécurité et suivre les logs (journaux d'activités) pour détecter des comportements anormaux.

          Réagir à une cyberattaque
          Lorsque le pire arrive, il est indispensable de réagir rapidement et efficacement. Dans un premier temps, restaurer une sauvegarde propre permet de remettre le site en ligne. Cependant, il est tout aussi important de trouver et combler la faille à l'origine de l'attaque. Un audit des logs, des erreurs et des comportements récents sur le site peut révéler l'origine du problème ( voir les discussions sur le sujet et notamment l'outil de cavo789 ). Sur des sites e-commerce, par exemple, j'inclus des sauvegardes fréquentes, plusieurs fois par jour selon le trafic, afin de minimiser la perte de données en cas de piratage.

          Enfin, dans certains cas, la loi impose de notifier les autorités compétentes, comme la CNIL en France, ainsi que les utilisateurs en cas de fuite de données sensibles.

          En conclusion
          Joomla est un CMS sécurisé, mais il faut comprendre que la sécurité est un processus continu qui nécessite une vigilance permanente. Il n'y a jamais de solution unique ou de garantie à 100 % contre les cyberattaques. Cependant, en appliquant des bonnes pratiques, en anticipant les risques, et en réagissant rapidement en cas d'incident, on réduit considérablement les vulnérabilités.

          Je dirais donc que la sécurité est une chaîne dont chaque maillon compte. En alliant les bonnes technologies à une éducation adéquate des utilisateurs et à une gestion rigoureuse de l'hébergement et des accès, vous pouvez dormir sur vos deux oreilles, en sachant que vous avez fait tout votre possible pour protéger votre site.

          Enfin, un grand merci à RobertG , Jeff71 et pmleconte pour leurs retours d’expérience précieux qui permettent de mieux comprendre et améliorer la sécurité au quotidien.​
          Dernière édition par daneel à 04/10/2024, 18h23
          RobertG, Sam_38 et 2 autres aiment ceci.
          Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

          Commentaire


          • #6
            J'ai des problèmes avec la gestion des permissions de fichiers sur joomla pour le site d'un client... Je n'arrive pas à comprendre comment et de quelle manière les définir, (je pense que c'est aussi une question de sécurité), pouvez-vous me donner des infos ou un guide détaillé.
            Merci de votre compréhension.​
            Dernière édition par pmleconte à 16/11/2024, 12h43 Raison: wordpress site supprimé

            Commentaire

            Annonce

            Réduire
            Aucune annonce pour le moment.

            Partenaire de l'association

            Réduire

            Hébergeur Web PlanetHoster
            Travaille ...
            X