Merci Daneel pour cette information. Intéressant de voir la comparaison des 2 CMS. Et merci aux experts de la sécurité de leur partage.
On peut donc conclure que si notre site est à jour au niveau joomla et extensions, nous sommes déjà bien protégé. Bien entendu il faut bien choisir ses extensions pour ne pas qu'elles apportent de failles.

Presque ! Tu peux aussi prendre en compte les bonnes pratiques et les précautions d'usage. Par ailleurs, c'est dommage que beaucoup ne prennent pas le temps de s'informer sur le sujet. On peut toujours se créer une liste des différents points à vérifier. C'est gratuit et on peut l'enrichir de notre expérience sans que ce soit technique comme par exemple définir un mot de passe fort pour les membres du site. C'est ce que je fais depuis des années avec succès.

A l'occasion du prochain Joomladay sur Metz, je propose d'organiser une conférence ou un atelier sur le sujet de la sécurisation si plusieurs sont intéressés. Ce serait une présentation de cette "todo-list" suivi de la mise en place d'une stratégie de sécurité (Content Security Policy - CSP en anglais). En plus d'une protection efficace native, ce serait aussi l'occasion de se débarrasser des spams définitivement et d'obtenir un maximum de moyens à mettre en oeuvre rapidement pour se protéger. et pas de théorie mais vraiment de la pratique !

Suivi (ou précédé suivant la programmation) d'une gestion de la polititique de confidentialité et de la gestion des cookies avec preuve de consentement. De plus, toutes ces techniques sont utilisables sous joomla gratuitement, en toute indépendance (sans lien avec des services web) et en français (oui dans la langue de Molière!). On aurait toutes les raisons de suivre et participer à ces deux sessions essentielles !

On sait très bien que la sécurité est primordiale, il est tout autant d'être en conformité notamment avec la réglementation européenne (RGPD). L'objectif n'étant pas d'être purement technique mais de rester dans le concret en plus d'évoquer l'actualité. Et comme on est généreux, une troisième session serait dédié à la performance afin d'atteindre une rapidité que peu de sites peuvent obtenir ! On évoque ici du 400% et pas uniquement avec des serveurs litespeed que certains connaissent via notre hébergeur partenaire ! Par ailleurs, la sécurité et la performance sont deux sujets extrêmement liés de par leur influence sur le site et le résultat.

Attention, ce n'est qu'une suggestion de programmation, Intéressé ?
Vous voulez en savoir plus, indiquez en commentaire !​

Pour ces 2 parties ce ne serait pas que de la théorie ?

Et non, car je me rends compte que la pratique n'est pas assimilé par tous.
Pour la sécurité, On part d'un site exemple et on se laisse guider par la checklist avec quelques éléments qui seront pour certains, une véritable découverte.
En terme de liste, je ferai une selection des points essentiels et de ceux que l'on connait un peu moins.
Notamment les protections mais aussi la surveillance (monitoring). En atelier ou en conférence, toutes les questions sur la sécurité peuvent être posées.

Le mieux que je puisse proposer pour la seconde session, c'est de suivre pour la politique de confidentialité une méthode pas à pas, selon les recommandations de la CNIL. Une recette qui fonctionne également sans prise de tête, sans s'inscrire auprès d'un tiers. Bref on reste libre et indépendant ! Et c'est d'autant mieux que l'on est dans la conformité surtout avec la preuve. C'est à dire de savoir quand on a obtenu le consentement pour voir la video youtube ou d'accepter après avoir réglé le choix des cookies.

Enfin pour la performance, c'est plusieurs types de configuration d'optimisation avec préréglages que l'on pourra utiiliser directement.
Quelque part on retrouve des techniques utilisés par jch optimize mais je vais beaucoup plus loin en abordant les cdn gratuits et autre solutions pratiques que j'ai déjà expérimenté et travaillé. Comme pour les stats sur les failles de sécurité, je donnerai volontiers le résultat de la meilleure optimisation possible avec détail