Sécurité Web - Les bonnes pratiques pour Joomla

  • Published on
    21-Jun-2015

  • View
    1.145

  • Download
    3

DESCRIPTION

Prsentation gnraliste de la scurit des sites web, et focus sur les bonnes pratiques de scurit pour les sites raliss avec le CMS Joomla

Transcript

1. Joomlapero 29 novembre 2011 .:: La scurit des sites Joomla ::. Comment l'aborder, les points essentiels 2. Scurit web - Gnralits Les biens les plus prcieux dun site web :ses contenus (articles, commentaires) ses fichiers originaux (sons,photos, vidos) sa base membres/clients Le but du jeu est de garder le site en ligne et de conserver lintgrit des donnes Joomlapero 29 novembre 2011 3. Scurit - Gnralits Les risques peuvent venir de lextrieur (pirate, virus, hacker) Mais bien souvent le risque est interne ! La faute qui provoque la faille nest pas forcment volontaire Joomlapero 29 novembre 2011 4. Scurit - Gnralits Origine des risques : Attaque malveillante Panne matrielle Panne logicielle Incident de lenvironnement (feu, inondation, orage) Erreur humaine Joomlapero 29 novembre 2011 5. Scurit - Gnralits Se protger doit devenir un rflexe Toutes les personnes qui grent le site doivent y tre sensibilises La responsabilit du chef dentreprise ou du directeur de publication peut tre engage pnalement ou civilement Art. 226-17 du code pnal (pour les donnespersonnelles) et 1383 du code civil (responsable par ngligence ou imprudence) (entre autres) Joomlapero 29 novembre 2011 6. Scurit - Gnralits On compare souvent la scurit une chane :Le niveau de scurit d'un systme est caractris par le niveau de scurit du maillon le plus faible .Joomlapero 29 novembre 2011 7. Scurit matrielle Scurit physique des machines Attention au choix de lhbergeur Sauvegardes des donnes Joomlapero 29 novembre 2011 8. Scurit logicielle En local Sur le serveur Joomlapero 29 novembre 2011 9. Accs FTP scuriss Si votre hbergeur le permet, utilisez une connexion FTP scurise (sftp) Les communications sont cryptes entre votre PC et votre serveur Les sniff sont inefficaces ! Ne donnez pas les codes FTP principaux tous les intervenants Limitez les accs aux rpertoires de travail rels Seuls les super admins ont besoin des accs complets Joomlapero 29 novembre 2011 10. Configurez les permissions Objectif : empcher des modifications du code de Joomla par des personnes non autorises Prconisations pour une install standard de Joomla : Rpertoire racine : 750Fichiers : 644 Rpertoires : 755 Joomlapero 29 novembre 2011 11. Installation et scurisation Installer Joomla normalement (utiliser un prfixe diffrents de jos_ pour les noms des tables de la base de donnes) Remplacer le superadmin par dfaut (admin) Dplacer les fichiers sensibleshors de la racine du site webUtiliserJSecure(9,99$) ouSecure Authentication(gratuit) pour modifier lurl daccs ladministration Mettre en place une procdure de sauvegarde. Joomlapero 29 novembre 2011 12. Les mots de passeUn bon mot de passe est un mot de passe fort, qui sera difficile retrouver mme l'aide d'outils automatiss mais facile retenir.Pour samuser un peu Mthode phontiqueExemple J'ai achet huit cd pour cent euros cet aprs midi deviendra ght8CD%E7am. Mthode des premires lettres Exemple, la citation un tiens vaut mieux que deux tu l'auras donnera 1tvmQ2tl'A. A tester :How secure is my password ? Joomlapero 29 novembre 2011 13. Sauvegarde et externalisation Les sauvegardes permettent de retrouver des donnes malgr les risques : Effacement malencontreux de donnes Bug sur mise jour AttaqueLes fichiers ET la base de donnes de Joomla doivent tre sauvegardes Joomlapero 29 novembre 2011 14. Sauvegarde et externalisation La sauvegarde peut tre effectue : Avec une extension spcifique (akeeba backup) Via ftp et phpmyadminLa sauvegarde doit tre rgulire,la frquence dpend des actualisations ralises sur le site La restauration des donnesdoit tre teste Joomlapero 29 novembre 2011 15. Scurit du code Pensez mettre jourvos systmes sur serveurs ddis Suivezet appliquez les mises jours de JoomlaIdem pour les extensions :pensez aux mises jour ! Consultez la liste des vulnrabilits http://docs.joomla.org/Vulnerable_Extensions_List Abonnez vous aux flux RSS de scurit de Joomla : Joomla Extensions Joomlapero 29 novembre 2011 16. Les extensions Joomla Choisir des extensions fiables (facile dire) Ne pas installer des extensions non suivies Installer des versions stables (pas beta ou alpha) Regarder lhistorique des MAJ de lextension (nb de correctifs, nb de bugs) Voir la communaut autour de lextension Attention lutilisation dextension pirates Risque de codes malicieux Ouverture de backdoor sur le site Pas de solution logicielle comme sur un PC Joomlapero 29 novembre 2011 17. La rcriture dURL en mode SEF Optimise la visibilit du site dans les moteurs de recherche Amliore la scurit par la dissimulation des noms des extensions utilises Lextension sh404SEF apporte ces rponses mais aussi : permet de dsactiver la balise meta generator permet de filtrer les adresses IP autorises se connecter au site est muni dun bouclier contre plusieurs types dattaques Joomlapero 29 novembre 2011 18. Pour rsumer Squiper des bons outils et les mettre jour Avoir un systme de sauvegarde Utiliser des identifiants complexes Utiliser les extensions officielles Se maintenir inform des risques de scurit Joomlapero 29 novembre 2011 Et comme dit lautre :"mieux vaut prvenir que gurir"