Upload
atelier51
View
1.148
Download
3
Embed Size (px)
DESCRIPTION
Présentation généraliste de la sécurité des sites web, et focus sur les bonnes pratiques de sécurité pour les sites réalisés avec le CMS Joomla
Citation preview
Joomlapero – 29 novembre 2011
.:: La sécurité des sites Joomla ::.
Comment l'aborder, les points essentielsComment l'aborder, les points essentiels
Joomlapero – 29 novembre 2011
Sécurité web - Généralités
Les biens les plus précieux d’un site web :
– ses contenus (articles, commentaires…)
– ses fichiers originaux (sons, photos, vidéos)
– sa base membres/clients
Le « but du jeu » est de garderle site en ligne et de conserverl’intégrité des données…
Joomlapero – 29 novembre 2011
Sécurité - Généralités
Les risques peuvent venir de l’extérieur (pirate, virus, hacker…)
Mais bien souvent le risque est interne !
La faute qui provoque la faille n’est pas forcément volontaire
Joomlapero – 29 novembre 2011
Sécurité - Généralités
Origine des risques :
Attaque malveillante
Panne matérielle
Panne logicielle
Incident de l’environnement(feu, inondation, orage…)
Erreur humaine
Joomlapero – 29 novembre 2011
Sécurité - Généralités
Se protéger doit devenir unréflexe
Toutes les personnes quigèrent le site doivent y être sensibilisées
La responsabilité du chef d’entreprise ou du directeur de publicationpeut être engagéepénalement ou civilementArt. 226-17 du code pénal (pour les données personnelles) et 1383 du code civil (responsablepar négligence ou imprudence…)(entre autres…)
Joomlapero – 29 novembre 2011
Sécurité - Généralités
On compare souvent la sécurité à une chaîne :
Le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible.
Joomlapero – 29 novembre 2011
Sécurité matérielle
Sécurité physique des machines
– Attention au choix de l’hébergeur
Sauvegardes des données
Joomlapero – 29 novembre 2011
Sécurité logicielle
En local
Sur le serveur
Accès FTP sécurisés
Si votre hébergeur le permet, utilisez une connexion FTP sécurisée (sftp)
– Les communications sont cryptées entre votre PC et votre serveur
– Les sniff sont inefficaces !
Ne donnez pas les codes FTP principaux à tous les intervenants
– Limitez les accès aux répertoires de travail réels
– Seuls les super admins ont besoin des accès complets
Joomlapero – 29 novembre 2011
Configurez les permissions
Objectif : empêcher des modifications du code de Joomla par des personnes non autorisées
Préconisations pour une install standard de Joomla :
– Répertoire racine : 750
– Fichiers : 644
– Répertoires : 755
Joomlapero – 29 novembre 2011
Installation et sécurisation
Installer Joomla normalement (utiliser un préfixe différents de jos_ pour les noms des tables de la base de données)
Remplacer le superadmin par défaut (admin)
Déplacer les fichiers sensibles hors de la racine du site web
Utiliser JSecure (9,99$) ou Secure Authentication (gratuit) pour modifier l’url d’accès à l’administration
Mettre en place une procédure de sauvegarde.
Joomlapero – 29 novembre 2011
Joomlapero – 29 novembre 2011
Les mots de passe
Un bon mot de passe est un mot de passe fort, qui sera difficile à retrouver même à l'aide d'outils automatisés mais facile à retenir.
Pour s’amuser un peu…
– Méthode phonétique Exemple « J'ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am.
– Méthode des premières lettresExemple, la citation « un tiens vaut mieux que deux tu l'auras » donnera 1tvmQ2tl'A.
A tester : How secure is my password ?
Joomlapero – 29 novembre 2011
Sauvegarde et externalisation
Les sauvegardes permettent de retrouver des données malgré les risques :
– Effacement malencontreux de données
– Bug sur mise à jour
– Attaque
Les fichiers ET la base de données de Joomla doivent être sauvegardées
Joomlapero – 29 novembre 2011
Sauvegarde et externalisation
La sauvegarde peut être effectuée :
– Avec une extension spécifique (akeeba backup)
– Via ftp et phpmyadmin
La sauvegarde doit être régulière, la fréquence dépend des actualisations réaliséessur le site
La restauration des données doit être testée
Joomlapero – 29 novembre 2011
Sécurité du code
Pensez à mettre à jour vos systèmes sur serveurs dédiés
Suivez et appliquez les mises à jours de Joomla
Idem pour les extensions : pensez aux mises à jour !
Consultez la liste des vulnérabilitéshttp://docs.joomla.org/Vulnerable_Extensions_List
Abonnez vous aux flux RSS de sécurité de Joomla :
– Joomla
– Extensions
Joomlapero – 29 novembre 2011
Les extensions Joomla Choisir des extensions fiables (facile à dire)
– Ne pas installer des extensions non suivies
– Installer des versions stables (pas beta ou alpha)
– Regarder l’historique des MAJ de l’extension (nb de correctifs, nb de bugs)
– Voir la communauté autour de l’extension
Attention à l’utilisation d’extension piratées
– Risque de codes malicieux
– Ouverture de backdoor sur le site
– Pas de solution logicielle comme sur un PC
La réécriture d’URL en mode SEF
Optimise la visibilité du site dans les moteurs de recherche
Améliore la sécurité par la dissimulation des noms des extensions utilisées
L’extension sh404SEF apporte ces réponses mais aussi :
– permet de désactiver la balise meta « generator »
– permet de filtrer les adresses IP autorisées à se connecter au site
– est muni d’un bouclier contre plusieurs types d’attaques
Joomlapero – 29 novembre 2011
Joomlapero – 29 novembre 2011
Pour résumer…
S’équiper des bons outils et les mettre à jour
Avoir un système de sauvegarde
Utiliser des identifiants complexes
Utiliser les extensions officielles
Se maintenir informé des risques de sécurité
Et comme dit l’autre : "mieux vaut prévenir que guérir"