web-dev-qa-db-fra.com

Comment sécuriser une nouvelle installation de Joomla?

Quelles sont les actions à entreprendre après une nouvelle installation de Joomla afin de le garder en sécurité? Tant sur des serveurs d'hébergement partagés que sur des serveurs dédiés.

securityinstallation
34
ilias

Garder un site Web Joomla sécurisé

  1. Utilisez des mots de passe forts.
  2. Réduisez le nombre de comptes d'administrateur.
  3. Désactiver ou supprimer les comptes utilisateur inutilisés.
  4. Réduisez le nombre d'extensions tierces et, lorsque des extensions tierces sont nécessaires, utilisez des extensions bien prises en charge provenant de développeurs établis et de confiance.
  5. Appliquez régulièrement les dernières mises à jour aux extensions Joomla et tierces, notamment correctifs logiciels de sécurité pour les versions de Joomla EOL le cas échéant.
  6. Abonnez-vous au flux Joomla Security News pour rester informé des dernières mises à jour de sécurité Joomla.
  7. Abonnez-vous à la liste des extensions vulnérables de Joomla afin que de nouvelles vulnérabilités puissent être rapidement résolues. Faites défiler vers le bas de la page pour le lien d'abonnement - vous pouvez également suivre le VEL sur Twitter .
  8. Utilisez un hébergement Web sécurisé de bonne qualité comprenant un PHP gestionnaire de fichiers tel que suPHP ou FastCGI et des extensions de sécurité telles que mod_security.) Utilisez un version prise en charge de PHP .
  9. Plutôt que de vous fier uniquement aux sauvegardes de votre société d'hébergement Web, effectuez régulièrement vos propres sauvegardes du site Web, copiez les fichiers de sauvegarde hors site et exécutez régulièrement des restaurations tests à un emplacement test pour vérifier la qualité de vos sauvegardes.
  10. Activer https.
  11. Implémentez un pare-feu pour une application Web tel que celui fourni avec la version professionnelle d’Akeeba Admin Tools.
  12. N'utilisez pas le préfixe de table standard.
  13. Remplacez le nom d'utilisateur et l'ID par défaut du super administrateur par un autre. La version professionnelle d'Akeeba Admin Tools dispose d'un outil permettant de modifier l'ID de super administrateur.
  14. Restreindre l'accès à l'administrateur Joomla par IP. Autoriser uniquement les adresses IP de confiance.
  15. Activer l'authentification à 2 facteurs pour les comptes d'administrateur (s'applique à Joomla 3.2 et versions ultérieures).
  16. Répétez les étapes ci-dessus pour les autres sites Web partageant le même compte d'hébergement ou, idéalement, séparez les sites Web de leurs propres comptes d'hébergement Web pour éviter la contamination croisée.
  17. Assurez-vous que les ordinateurs personnels des administrateurs de sites Web sont également sécurisés. Par exemple, implémentez un scanner de virus et de programmes malveillants de bonne qualité. Cela permet de protéger les informations d'identification de site Web stockées sur des ordinateurs personnels. Idéalement, utilisez un outil ou une application de cryptage pour stocker le site Web et d'autres informations d'identification.
  18. Lisez les Les 10 astuces les plus stupides de l’administrateur pour savoir ce que ne devez pas faire.

Pour des instructions plus détaillées, voir le document officiel liste de contrôle de la sécurité .

36
Neil Robertson

Il est très important de stocker les sauvegardes sur un serveur séparé. Je vois beaucoup de gens qui exécutent fidèlement Akeeba Backups ... et qui sont stockés sur le même serveur dans le même répertoire racine. Pas très utile si vous êtes piraté de manière sérieuse, et certainement pas utile pour récupérer d'un échec d'hébergement.

Akeeba Backup Pro vous permet de stocker et de gérer des fichiers de sauvegarde sur un stockage externe, comme le cloud Amazon.

14
Deb Cinkus

Au lieu de bloquer le fichier .htaccess ou de le verrouiller par IP, vous pouvez également utiliser jSecure pour sécuriser votre connexion administrateur.

Une chose qui n’a pas été mentionnée est l’utilisation d’un fournisseur d’hébergement réputé. Vous voulez un système qui non seulement respecte la sécurité, mais qui fonctionne également avec vous si vous êtes piraté ou en cas de problème (la base de données est corrompue par exemple). L'idée est de limiter les dommages causés par votre site tout en vous permettant de le nettoyer.

L'idée de base, vous voulez quelqu'un qui ..

  • sera autour
  • n'est pas une opération aérienne
  • travaillera avec vous
  • et fournit un environnement solide.

Si vous souhaitez une liste de questions à poser à un hôte pour avoir une meilleure impression, faites-le moi savoir.

J'espère que cela t'aides.

7
Donald Champion

Essayez ceci aussi,

  • Gardez votre Joomla à jour avec ses extensions.
  • Gardez régulièrement des sauvegardes de votre site dans nuages .
  • Ne pas ouvrir robots.txt pour les dossiers sécurisés.
  • Pour les dernières versions de Joomla, l'utilisation de l'authentification à deux facteurs sera plus sécurisée.
  • Assurez-vous que les dossiers et les fichiers disposent des autorisations appropriées.
  • Utilisez Cloudfare pour Joomla .

J'espère que ça aide ..

6
Jobin Jose

D'après mon expérience, avec la taille de Joomla, il n'y a aucun moyen de le sécuriser complètement. Donc, plutôt que de mettre en place une politique de sécurité parfaite qui arrête tout, son mieux est de réduire vos attentes pour tenter d’atténuer les dégâts.

Cela peut être fait avec une politique de sauvegarde extrêmement fréquente afin que le site puisse être annulé à chaque intrusion, ainsi que les analyses de logiciels malveillants. Jusqu'ici, pas un seul hack que nous ayons eu n'est dû au fait que notre panel d'administrateurs a été forcé brutalement.

Nous constatons que la plupart des piratages proviennent de composants tiers ou du noyau de Joomla. Nous avons même constaté que des piratages parviennent également à intégrer les dernières versions de Joomla. Cela est dû au fait que le hack peut ressembler à une requête normale, en utilisant un filtrage incorrect pour envoyer un fichier sur le serveur. Une fois qu'un fichier est sur le serveur, tout est en jeu, vous pouvez le trouver N’IMPORTE QUEL site dans un serveur partagé dans son intégralité et continuer à affecter le vôtre. un serveur partagé ne se tient pas à jour, cela peut vous affecter.

C’est peut-être un peu extrême, mais, en fonction de l’expérience personnelle, il est préférable de se préparer au pire, mais trop confiant pour que votre politique prévienne tout.

Ainsi, le meilleur moyen de sécuriser une nouvelle installation de Joomla est de sauvegarder souvent et d'activer les analyses de logiciels malveillants. Si le scanner de logiciels malveillants peut vous envoyer un e-mail dès qu'il trouve quelque chose, vous pouvez restaurer la dernière sauvegarde dans un délai très court.

5
Jordan Ramstad

  1. Changez le nom d'utilisateur et conservez le mot de passe de l'administrateur, utilisez une authentification à deux facteurs (intégré pour les versions 3.3+, pour les autres http://www.readybytes.net/labs/two-factor-authentication.html )

  2. Installez kSecure ( http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )

  3. Protégez votre site Web contre diverses attaques en utilisant cet htaccess http://docs.joomla.org/Htaccess_examples_ (security)

4
Shyam

Votre première ligne de défense est votre service d'hébergement

  • Louez un serveur dédié auprès d'un service d'hébergement fiable
  • Assurez-vous d'activer 2FA sur votre serveur et utilisez un mot de passe 'TRÈS FORT'
  • Installez un pare-feu fiable sur votre serveur - J'utilise ConfigServer
  • Installer/Configurer un programme anti-virus, j'utilise ClamAV
  • Assurez-vous que chaque nom d'utilisateur de site Web n'utilise PAS les 8 premiers caractères du nom de domaine et utilise un mot de passe "TRÈS FORTE".
  • Assurez-vous qu'un certificat SSL est installé sur chaque site Web.
  • Assurez-vous que chaque site Web est "En prison", ce qui signifie qu'ils n'ont pas d'accès root, à moins que vous n'ayez besoin d'accéder à la racine du serveur. Dans ce cas, assurez-vous que Secure Shell (SSH) est installé et configuré. J'utilise le site Web de mon domaine serveur, mais tous les autres sites sont 'En prison'.
  • Assurez-vous que toutes les mises à jour du serveur sont installées rapidement !!!!

Votre prochaine ligne de défense est votre cPanel

  • Utilisez un mot de passe "TRÈS FORT"
  • Configurer la force du mot de passe utilisateur pour les utilisateurs
  • Configurez un travail cron pour effectuer une sauvegarde complète de cPanel et l'enregistrer sur une source externe
  • Assurez-vous que cPanel a été configuré pour utiliser SSL pour l'accès.
  • Exécutez la "Vérification de la sécurité du site" pour voir quels autres réglages pourraient être nécessaires.
  • Assurez-vous que toutes les mises à jour de cPanel sont installées rapidement !!!!

Votre prochaine ligne de défense est votre panneau d'administrateur

  • Modifiez les exigences de format de mot de passe pour garantir des mots de passe forts (majuscules/minuscules, chiffres et au moins un signe de ponctuation de 18 caractères au minimum).
  • Activer 2FA pour les utilisateurs - Utiliser pour les comptes super utilisateur et administrateur
  • Limitez le nombre de comptes de super utilisateur (il est préférable d’en avoir un seul)
  • Limitez le nombre de comptes d'administrateur (le moins sera le mieux)
  • Limite les zones accessibles aux administrateurs
  • Limitez le nombre de zones accessibles aux éditeurs, aux éditeurs et aux auteurs.
  • Installer et configurer AdminTools
  • Configurer un mot de passe d'URL administrateur via AdminTools
  • Assurez-vous que les fichiers critiques (HTACCESS, ROBOTS.TXT, WEBCONFIG, INDEX.PHP (racine et modèle) sont définis sur 444. Vous pouvez toujours modifier les fichiers via cPanel pr. Gestionnaire de fichiers du panneau de contrôle Plesk
  • Installer et configurer AkeebaBackup
  • Configurer AkeebaBackup pour sauvegarder les sauvegardes en externe, hors site
  • Installez uniquement les modules complémentaires via les pages Extension Joomla. N'installez jamais de module complémentaire à partir d'une tierce partie ne figurant pas sur la page Extension Joomla.
  • Désactiver et/ou désinstaller les add-ons qui ne sont pas utilisés et ne sont pas nécessaires pour la fonctionnalité Joomla
  • Installez Joomla et les mises à jour add-on rapidement !!!

Je suis sûr qu'il y a d'autres étapes, mais ce sont les principales que j'utilise sur mon serveur hébergeant plus de 70 sites Web de partout au pays. J'ai récemment eu une attaque massive similaire à une attaque DDoS et aucun site Web n'a été consulté. Je me sentais un peu à l’avant et à l’épreuve des balles, mais je sais que je ne peux pas être complaisant, car demain sera un autre jour! LOL

3
Luke Douglas

Empruntant cette liste d'un livre blanc "Test de Pen sur un site Joomla" disponible sur le blog. Je pense que cette liste est un guide détaillé des bases de la sécurité de Joomla.

  1. Tenez-vous toujours à jour Joomla. Installez la dernière mise à niveau dès sa publication.
  2. Quelles que soient les extensions utilisées, elles doivent être correctement corrigées avec les dernières versions de mise à niveau. Toute ancienne extension peut donner à l’attaquant un moyen de compromettre le site.
  3. N'utilisez pas de rallonges qui n'ont pas été utilisées ou qui n'ont pas été testées correctement.
  4. Toutes les entrées utilisateur doivent être correctement validées. Ces entrées peuvent être des entrées dans des formulaires, des URI, des images téléchargées, etc. Supposons qu'un bouton BROWSE permette à l'utilisateur de télécharger l'image, il doit uniquement lui permettre de télécharger une image et non un PHP Shell qui peut ensuite fonctionner comme une porte dérobée sur le serveur.

  5. Utilisez des mots de passe forts pour toutes les connexions. Au moins 8 caractères, un caractère spécial, un chiffre et une lettre sensible à la casse. Cela protégera votre installation d'une force brute.

  6. Gardez toujours une trace des "Derniers visiteurs" dans les fichiers journaux du serveur Web pour détecter les attaques potentielles. Ne considérez jamais vos fichiers journaux comme une simple information. C'est très utile pour suivre et surveiller les utilisateurs.

  7. Mettez un peu de pression pour implémenter plus de sécurité sur l’ensemble du serveur sur lequel votre site basé sur Joomla est hébergé; qu'il soit hébergé sur un serveur partagé ou dédié.

  8. Faites une liste de toutes les extensions que vous utilisez et continuez à les surveiller.

  9. Tenez-vous au courant des dernières vulnérabilités et informations divulguées dans divers avis de sécurité. Exploit-db, osvdb, CVE, etc. sont quelques-unes des bonnes ressources.

  10. Modifiez l'autorisation sur votre fichier .htaccess telle qu'elle est par défaut à l'aide des autorisations d'écriture (car Joomla doit le mettre à jour). La meilleure pratique consiste à utiliser 444 (r-xr-xr-x).

  11. Des autorisations de fichier appropriées sur les répertoires publics doivent être données afin que tout fichier malveillant ne puisse être ni téléchargé ni exécuté. La meilleure pratique dans ce contexte est 766 (rwxrw-rw-), c’est-à-dire que seul le propriétaire peut lire, écrire et exécuter. D'autres ne peuvent que lire et écrire.

  12. Personne ne doit avoir la permission d'écrire dans PHP fichiers sur le serveur. Ils doivent tous être définis avec 444 (r-r-r--), tout le monde ne peut lire que.

  13. Déléguer les rôles. Cela sécurise votre compte administrateur. Si quelqu'un pirate votre ordinateur, celui-ci doit avoir accès uniquement à l'utilisateur concerné, et non au compte d'administrateur.

  14. Les utilisateurs de la base de données doivent uniquement être autorisés à donner des commandes telles que les lignes INSERT, UPDATE et DELETE. Ils ne doivent pas être autorisés à DROP des tables.

  15. Modifier les noms des dossiers principaux, par exemple vous pouvez changer/administrateur en/admin12345. 16. Dernier point mais non le moindre, restez à jour avec les dernières vulnérabilités.

3
FFrewin