Prochain slide | Touche d'espacement |
Se déplacer | ←, →, ↓ et ↑ |
Plein écran | F |
Commentaires | S |
Voir les vignettes | Esc |
Vous pouvez aussi utiliser la roulette de votre souris pour afficher le prochain slide.
Cette présentation est téléchargeable pour lecture en mode offline et/ou afin d'en simplifier son impression : format pdf
10 protections de base pour sécuriser son site Joomla! :: http://cinnk.com/magazine/mai-2016/690-10-protections-de-base-pour-securiser-son-site-joomla
N'optez pas pour le moins cher, pour celui d'un ami, proche de chez vous géographiquement, ... mais pour celui qui vous assure un suivi constant de ses serveurs (versions PHP, disques SSD, ...), celui qui prend des backups de votre site, ...
Et surtout!, un hébergeur pro-actif et qui réponds à vos demandes de support
En principe : un client = un hébergement = un serveur FTP
Cas vécu personnellement : "Monsieur aeSecure, mon site a été hacké, pourriez-vous m'aider ?". Et là, horreur, 48 sites sur le même FTP (/site1, /site2, ... /site48).
Un virus dans /site1 pouvant se propager partout, ce n'est donc pas un site à traiter mais 48 et en une fois sinon le /site1 ayant été nettoyé peut être à nouveau contaminé par /site48
Ne conservez pas d'anciennes versions de votre site (/_vieux_sites) sur votre FTP, cela ne sert à rien du tout.
Vous augmentez très considérablement la surface d'attaque avec des sites / programmes qui ne seront plus jamais mis à jour
J'ai déjà retrouvé un Joomla 1.0 p.ex. alors que le site de production était en J3.6.x
Téléchargez sur votre ordinateur les vieux sites, les tests, les démos, ... et supprimez-les de la production
A titre personnel, j'utilise depuis plusieurs années LastPass qui est un "coffre-fort", un gestionnaire de mot de passe.
Hormis deux ou trois mots de passe, je ne connais pas les centaines d'autres que j'utilise qui sont à usage unique.
Lire plus : https://www.aesecure.com/fr/blog/60-bien-choisir-son-mot-de-passe.html
Même sous Mac ! Ayez un antivirus à jour et gardez-vous d’utiliser certains logiciels dont la sécurité est défaillante, comme le réputé FileZilla qui stocke en clair les accès FTP dans un fichier xml, préférez par exemple WinSCP (Windows) ou CyberDuck (Mac) ; pour n’en citer que deux.
Si vous utilisez FileZilla, vérifier plutôt deux fois qu'une que vos données de connexion ne sont pas stockées dans un fichier .xml non crypté car sinon un hackeur qui aurait accès à votre disque dur aurait de fait accès à ce fichier .xml
Personnellement, étant sous Windows, j'utilise WinSCP.
Si votre hébergeur vous le permet (si pas, changez-en!), optez pour une connexion SFTP où le login et le mot de passe ne transite pas en clair sur le réseau.
La sécurité et Joomla!® pour apprendre à sécuriser votre site web : https://www.aesecure.com/fr/blog/joomla-securite.html
Ne créez pas un nouveau site sur une vieille version de Joomla!®, cela n'a aucun sens. Téléchargez systématiquement la dernière version.
Ne conservez jamais des templates inutilisés, des composants dont vous n'avez plus besoin, ... Ils pourraient ne plus être mis à jour et contenir des failles qui se révèleront des portes d'entrée.
Et faites cela régulièrement : nettoyez, nettoyez, nettoyez...
Ne ratez aucune mise-à-jour de sécurité. AUCUNE !
AUCUNE !!
AUCUNE !!!
Pour simplifier votre vie de gestionnaire, pour savoir quelles versions sont installées, pour mettre à jour vos sites, ... utilisez un système de supervision comme
https://watchful.liVoir aussi https://perfectdashboard.com/
aeSecure Pro multi-sites propose également une interface de surveillance de vos sites (version du CMS, de Apache, PHP et fonctionnalités d'aeSecure activées)
Si vous avez accès à un crontab chez votre hébergeur, planifiez des scripts d'analyse comme p.ex. un script qui détecterait un fichier ayant été modifié et vous enverrait une alerte, un script qui détecterait des nouveaux utilisateurs s'étant inscrit sur votre site, un script qui prendrait des backups de votre base de données, ...
aeSecure Pro fait cela...
Idéalement à stocker ailleurs que chez votre hébergeur (imaginez un incendie ou que vous oubliez de payer votre renouvellement) et à tester de temps à autre pour garantir que le backup est complet (ne pas découvrir qu'il ne contient pas la base de données, ...) et que le fichier ne soit pas corrompu
Installez un certificat SSL pour sécuriser le transfert d'informations (p.ex. login/password) entre votre client et votre serveur. SSL garanti que les échanges soient cryptés.
Lire https://cinnk.com/joomla/3/tutoriels/le-https-facilement-sur-son-site-joomlaSi vous souhaitez tester la validité et la sécurité d'un certificat : https://www.ssllabs.com/ssltest/analyze.html
Il existe des outils qui permettent de tenter d'infiltrer des sites web càd de simulations d'attaques afin de voir comment ils se comportent : sont-ils failibles à une attaque XSS, cross site scripting, SQL injection, ...
À utiliser strictement sur vos propres sites et idéalement en local.
Est-ce que mon site a été hacké ? Est-il propre ? Comment m'en assurer ? : https://slides.aesecure.com/hacked/index.html
De temps en temps, faites une recherche sur votre propre site, voyez si aucune nouvelle page est référencée et qui ne serait pas de vous.
* site:monsite.com
En utilisant un logiciel de veille, on peut être averti par email. Ici mention.com avec une veille sur un mot qui est, ici, un dossier du site.
aeSecure QuickScan est un scanner gratuit supportant nativement 22 CMS.
À côté d'aeSecure QuickScan, vous avez d'autres outils :
En php, l’instruction touch() permet de réinitialiser la date de
dernière modification.
Si j’étais un pirate, mon virus détecterait d’abord la date
courante du fichier pour injecter mon virus et rétablir cette date quand l’injection a été
faite.
Toutefois, avoir dans un dossier de nombreux fichiers avec une même date et un
intrus, oui, il est utile d’aller voir ce que contient l’intrus.
Les fichiers ci-dessous sont assez régulièrement hackés :
/administrator/includes/defines.php
,/includes/defines.php
,/templates/…/index.php
(ceci pour tous les templates)
<FilesMatch "bananas_1.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
Ces trois lignes vont indiquer à Apache que le fichier bananas_1.jpg, malgré son extension,
doit être considéré comme un script php : le pirate pourra donc accéder à
http://votresite/.../bananas_1.jpg afin de lancer le script.
Un fichier .htaccess où vous trouvez un SetHandler application/x-httpd-php est donc suspect.
Votre site a été hacké, que faire ? pour apprendre à le nettoyer par vous-même : https://www.aesecure.com/fr/blog/site-hacke.html
Voyez avec votre hébergeur, puisqu'il est sérieux, il a pris des backups automatisés pour vous (non? quittez-le sans délai!)
Nettoyer un site "à la main" est une opération compliquée, requérant du temps et de la méthodologie.
Cette méthode est longue et requiert que vous ayez encore une version de tous les logiciels payants que vous aviez sur ce site.
Sans tomber dans la paranoïa, songez au pistage probable de vos visiteurs :