Bienvenue !

A voir les attaques non déjouées de grands groupes qui utilisent pourtant des experts en sécurité pour protéger leurs sites et nos données, on ne peut pas dire que toutes les solutions de protection nous mettent totalement à l'abri, sinon de pirates pas trop agressifs, je dirai.

L'essentiel à notre niveau est à mon sens, et en sus de ces extensions, de mots de passe complexes et autres méthodes de protection, de toujours faire les mises à jour des extensions et du noyau lors de leur publication.

Bonjour Xavier,

Même avis conseil que Robert.
Il faut aussi se poser la question du risque réelle par rapport aux informations et données partagés sur le site. (hébergement de données confidentiels et sensibles, ...)
La stratégie doit être adaptée à ce risque.
Avec les basics de mise à jours, mot de passe robuste, limitations des extensions utilisés, sauvegardes les risques sont grandement diminués.

Bonne journée.

Personnellement, j'entends plus souvent parler de sécurité Wordpress que de Joomla.

En regardant sur le blog sucuri, ils ont mis une page mensuelle pour Wordpress : https://blog.sucuri.net/category/wordpress-security

La majorité des failles vient des extensions, mais pas seulement.

Donc, comme mes collègues, sauvegardes, mises à jour et bon sens sont les mamelles de la sécurité. Cloudflare ( https://www.cloudflare.com/fr-fr/ ) offre aussi un bon filtrage en amont.

Pascal

La sécurité sur Joomla est un sujet crucial, d’autant plus dans le contexte actuel marqué par une recrudescence des cyberattaques. Cependant, il est essentiel de souligner que Joomla, tout comme d'autres CMS, met en œuvre des mesures de sécurité robustes grâce à une équipe dédiée qui réagit rapidement aux vulnérabilités. Mais la sécurité ne se limite pas seulement au CMS lui-même ; elle englobe plusieurs autres facteurs clés.

Sécurité du CMS et des extensions
Les mises à jour régulières de Joomla et de ses extensions sont fondamentales, mais elles ne sont qu’une partie du puzzle.

Voici quelques mesures que j'applique systématiquement dans mes projets pour renforcer la sécurité :

1. Sécurisation de l'accès à l'administration
   L'accès à l'administration de Joomla via /administrator peut être rendu plus discret en utilisant une URL secrète. Cela limite les tentatives d'accès automatisées.
2. Authentification à deux facteurs (2FA)
   La mise en place de la double authentification est incontournable. En plus du mot de passe, un code temporaire est envoyé par SMS ou via une application dédiée, ce qui complique l'accès non autorisé même si les identifiants sont compromis.
3. Surveillance des mots de passe exposés
   J’utilise des outils comme l'API de Have I Been Pwned pour vérifier si des mots de passe ont déjà été exposés lors de fuites de données. En avertissant les utilisateurs, cela permet d’anticiper les risques.

Éviter les failles humaines
La sécurité ne repose pas uniquement sur des technologies, mais aussi sur des comportements. Les utilisateurs eux-mêmes peuvent, sans le savoir, créer des vulnérabilités. C'est pourquoi il est crucial de les former aux bonnes pratiques. Par exemple, l’utilisation d’un gestionnaire de mots de passe est souvent négligée, tout comme les risques liés au social engineering (ingénierie sociale), qui exploite la psychologie humaine plutôt que des failles techniques.

Anticipation et gestion des incidents
En matière de cybersécurité, anticiper est une clé. Cela inclut de :

• Choisir un hébergement sécurisé et adapté aux besoins spécifiques de votre site.
• Mettre en place un plan de sauvegardes régulières, testées pour garantir qu'elles puissent être restaurées efficacement en cas de problème.
• Configurer des alertes de sécurité et suivre les logs (journaux d'activités) pour détecter des comportements anormaux.

Réagir à une cyberattaque
Lorsque le pire arrive, il est indispensable de réagir rapidement et efficacement. Dans un premier temps, restaurer une sauvegarde propre permet de remettre le site en ligne. Cependant, il est tout aussi important de trouver et combler la faille à l'origine de l'attaque. Un audit des logs, des erreurs et des comportements récents sur le site peut révéler l'origine du problème ( voir les discussions sur le sujet et notamment l'outil de cavo789 ). Sur des sites e-commerce, par exemple, j'inclus des sauvegardes fréquentes, plusieurs fois par jour selon le trafic, afin de minimiser la perte de données en cas de piratage.

Enfin, dans certains cas, la loi impose de notifier les autorités compétentes, comme la CNIL en France, ainsi que les utilisateurs en cas de fuite de données sensibles.

En conclusion
Joomla est un CMS sécurisé, mais il faut comprendre que la sécurité est un processus continu qui nécessite une vigilance permanente. Il n'y a jamais de solution unique ou de garantie à 100 % contre les cyberattaques. Cependant, en appliquant des bonnes pratiques, en anticipant les risques, et en réagissant rapidement en cas d'incident, on réduit considérablement les vulnérabilités.

Je dirais donc que la sécurité est une chaîne dont chaque maillon compte. En alliant les bonnes technologies à une éducation adéquate des utilisateurs et à une gestion rigoureuse de l'hébergement et des accès, vous pouvez dormir sur vos deux oreilles, en sachant que vous avez fait tout votre possible pour protéger votre site.

Enfin, un grand merci à RobertG , Jeff71 et pmleconte pour leurs retours d’expérience précieux qui permettent de mieux comprendre et améliorer la sécurité au quotidien.​
​

J'ai des problèmes avec la gestion des permissions de fichiers sur joomla pour le site d'un client... Je n'arrive pas à comprendre comment et de quelle manière les définir, (je pense que c'est aussi une question de sécurité), pouvez-vous me donner des infos ou un guide détaillé.
Merci de votre compréhension.​