Sécurité & CyberRisque

  • Résumé du test

    • Intuitivité :excellent
    • Stabilité :tres bon
    • Support :excellent
    • Sécurité :excellent
    • Mises à jour : tres bon
    • Interropérabilité : N.C
    • Licence : Licence gratuiteLicence Joomla payante

    Autre extension du même type

    Voici le petit dernier de la sécurité Joomla qui, en raison sa nature pédagogique, commence petit à petit à faire de l'ombre à la référence du marché Admin Tools. En effet, AeSecure fait partie de ces petites applications (car ce n'est pas réellement une extension) qui en plus de bien faire leur boulot, vous apprend le pourquoi du comment des actions que vous entreprenez.

    Ainsi, lorsque par exemple vous décidez de changer les permissions de vos dossiers par mesure de sécurité, AeSecure vous explique pourquoi c'est une bonne chose.

    Cette démarche pédagogique est fortement appréciable et permet à chacun d'entre nous de mieux comprendre les fondamentaux de la sécurité avec notre site Internet Joomla.

  • En tant qu'application Open Source, Joomla! est sujet à toute sorte d'attaques pirates. C'est pourquoi il est important de prendre le plus de mesures possibles pour sécuriser votre site Joomla. En suivant les quelques conseils ci-dessous, vous minimiserez les chances d'être piraté.

    Cette liste n'est bien sûr pas exhaustive et des attaques peuvent toujours survenir. Si vous pensez être une cible privilégiée de hackers, faites appel à un professionnel.

    NOUVEAU ! Découvrez notre dossier complet : Le guide de sécurité pour Joomla

    Ce sujet couvre les aspects suivants :

  • Internet, tel que nous le connaissons tous aujourd'hui, n'aurait pas pu exister sans le protocole HTTP. Ce protocole est le coeur et l'âme qui définit tous nos contenus. Il nous rend possible la lecture des dernières nouvelles en ligne, il nous permet de regarder des vidéos sur YouTube et d'apprendre de nos sites Web préférés sur tous les types d'appareils, du poste de travail avec écran 27 pouces aux ordinateurs portables, téléphones mobiles ou tablettes.

    Malheureusement, ce protocole n'a pas été modifié depuis 1999 avec la version 1.1.

    Alors lorsque HTTP/2 a pointé le bout de son nez, autant vous dire que cela a généré une certaine excitation dans la communauté web. Comme on en a l'habitude maintenant, l'équipe de SiteGround a immédiatement commencé à travailler dessus et nous a aujourd'hui gratifié de cette technologie sur l'ensemble de leur infrastructure serveurs :-) Cela comprend donc tous leur hébergements mutualisés mais aussi leur Cloud server.

  • Joomla est un système de gestion de contenu (CMS) open-source basé sur un framework MVC. C'est actuellement le 2ème CMS le plus utilisé sur Internet après Wordpress, avec une part de marché de 2,8%. Bien que cela ne semble pas beaucoup, ce sont plusieurs millions d'entreprises et de blogs qui ont choisi d'alimenter leurs sites web avec Joomla.

    Comme pour toute plateforme fortement utilisée, des problèmes de sécurité surgissent régulièrement. Les risques d'être attaqué sont plus importants et des vulnérabilités sont constamment découvertes et exploitées. Suivez notre guide complet afin de renforcer la sécurité de votre installation Joomla et vous aider à prévenir les risques d'être piraté ou d'être victime de la prochaine attaque par force brute.

    Si vous êtes un jour piraté, ou si vous l'êtes déjà, NosyWeb peut vous aider. En savoir plus

  • La vidéo de cette leçon

  • La vidéo de cette leçon

  • Votre site Joomla est en version 2.5 et vous avez remis à plus tard son transfert en version 3. Et cela : 

    • Peut-être par manque de temps ?
    • Peut-être par manque de connaissances ?
    • Car vous considérez que ce n'est pas une priorité...

    Pourquoi évoluer vers Joomla 3.x ?

    1. L'argument de la Sécurité :

    Joomla 2.5 n'évolue plus et ses failles de sécurité sont désormais bien connues. A partir de Joomla 3.4, un code "UploadShield" a été intégré, qui permet de détecter la plupart des ajouts malveillants en examinant le nom et le contenu des fichiers. Récemment encore, nous avons vu à quel point il était important de tenir sa version Joomla à jour; en effet, une faille de sécurité dans la version 3.6.3 permettait de créer un compte Administrateur.

    2. L'argument de la Rapidité :

    Même si l'impact sur la rapidité de chargement du site est bien moins importante que, par exemple, la qualité de l'hébergement (cf. notre dossier Quel hébergeur et hébergement Joomla 3.x faut-il choisir ?), Joomla versions 3.x a été mesuré comme 15% plus rapide que les mêmes sites en version 2.5.
    De plus, à partir de la version 3.5, Joomla peut fonctionner (sous réserve de compatibilité des composants de votre site), avec la version 7 de PHP. En raison de l'optimisation de PHP 7, cette évolution a un fort impact sur la vitesse de chargement du site (jusqu'à 40% environ). C'est d'autant plus de signes positifs envoyés à Google pour votre référencement.

    3. L'argument de la Fiabilité / Evolutivité:

    Les éditeurs de composants ne proposent plus d'évolutions pour Joomla 2.5. Ces évolutions (nouvelles fonctionnalités, corrections de bugs) sont désormais uniquement incluses dans des versions d'extensions compatibles avec Joomla 3.x.  Egalement, les nouveaux composants ne sont proposés que sous Joomla 3.x.
    Enfin, au vu du choix fait récemment par la Team Joomla de procéder par montée de version progressive (et non plus par STS / LTS), les migrations entre versions majeures (Joomla 3 => 4 => 5) devraient être facilitées et s'apparenter à de simples mise à jour.

  •  

    Cet article est une libre traduction d'une étude publiée par Watchful.li en 2016 (At least one in three Joomla sites require urgent updates). Elle reste d'actualité tant les principes de sécurité évoqués sont essentiels et continuent de ne pas être respectés par une partie des utilisateurs de Joomla, même sur des sites importants. Nosyweb utilise l'application Watchful aussi bien pour surveiller l'activité des sites de ses clients, mais également pour automatiser la mise à jour de Joomla et de certaines extensions.

    Le projet Joomla a publié une mise à jour importante pour sa série 3.6 : Joomla 3.6.4. Comme cette version comprenait un correctif pour un problème important de sécurité, Joomla a publié une annonce quelques jours auparavant indiquant la date de sortie exacte afin que les utilisateurs se préparent et planifient la mise à jour.

    En tant que service d’aide à la mise à jour des sites Joomla (et Wordpress), nous avons ici, chez Watchful, une vue de premier rang sur ce processus. Certains développeurs d'extensions comme Akeeba et JCE ont également coordonné la publication des mises à jour avec la version 3.6.4 de Joomla.

    Dès que Joomla 3.6.4 a été publié, les utilisateurs de Watchful ont commencé à se connecter et à mettre à jour leurs sites en utilisant notre 1-click updater.

    Les modèles de mise à jour varient considérablement, avec des Watchers qui mettent seulement Joomla à jour - y compris certains clients qui mettent à jour plusieurs dizaines de sites à la fois - et d'autres qui prennent une approche plus prudente en mettant à jour Joomla ainsi que toutes les extensions d'un site à la fois.

    Comme il y avait une activité de mise à jour importante cette semaine et que la sécurité d'un site Web n'a jamais été aussi cruciale dans l’actualité et la blogosphère, nous avons décidé d'examiner les taux d'adoption pour les différentes versions de Joomla et quelques extensions Joomla. Voici un résumé de ce que nous avons observé.

  • CET ARTICLE EST OBSOLETE

     

    Beaucoup de solutions d'hébergements s'offrent à nous et il n'est pas toujours aisé de faire un choix. En effet, peu d'informations sur la consommation de ressources de Joomla circulent et il est toujours difficile de savoir sur quelles ressources serveurs se concentrer et quels sont les meilleurs hébergeurs à notre disposition.

    Joomla évoluant régulièrement au niveau de ces minimums requis et de ces recommandations, Joomla étant par exemple maintenant compatible PHP 7 depuis Joomla 3.5, il est important de choisir un bon hébergement pour démarrer sur de bonnes bases.

    Ayant croisé de très nombreux hébergeurs et hébergements aux travers de mes différents projets Joomla, j'ai pu identifier les hébergeurs et leurs serveurs les plus performants.

  • Cet article a 2 objectifs distincts :

    • Etre un dossier récapitulatif des bonnes pratiques en terme de maintenance de site Internet tournant sous le CMS Joomla
    • Interpeller les utilisateurs Joomla faisant appel à des "professionnels" pour la maintenance de leur site Joomla, et dénoncer les pratiques douteuses ou encore les manquements à ce type de prestation.

    Je vais particulièrement insister sur ce dernier point en raison des nombreux retours que j'ai eus de la part de nouveaux clients, d'utilisateurs de la communauté Joomla ou encore d'utilisateurs lambdas, qui m'ont fait part de leur expérience et de leur désarroi face à des pseudos "expert Joomla", "professionnels Joomla", "spécialiste Joomla". Il est clair qu'aujourd'hui, si la situation ne s'est pas dégradée, elle ne s'est pas non plus améliorée, et le nombre de pseudo-professionnels Joomla est encore très (trop) nombreux.

    Dans les faits, repasser derrière ce type de professionnels incompétents sur Joomla (mais peut-être compétent sur autre chose) reste une expérience assez déplaisante... Effectivement, au-delà d'une qualité de service médiocre pour le client (Joomla instable, peu souple, peu évolutif, peu d'autonomie, service client / support peu réactif...) et de la potentielle difficulté pour ce dernier de trouver un autre prestataire d'accord pour reprendre le travail sans facturer de mise à niveau, cet état de fait a un impact direct sur l'image du CMS Joomla, et c'est bien là l'une de mes principales motivations à écrire cet article (rédigé sur un coup de tête en plein après-midi :-) ).

  • Le contexte du HTTPS

    Le HTTPS est la combinaison du HTTP avec une couche de chiffrement SSL. Le SSL est un procédé de chiffrement des données entre le serveur et votre terminal. Le SSL repose sur l'obtention d'un certificat par nom de domaine (voir plus loin).

    Au travers des informations distillées par Google depuis Août 2014 et qui se sont accélérées fin 2016, le passage au HTTPS est inévitable. L'année 2017 sera l'année de cette évolution majeure pour votre site. D'ailleurs, toutes les agences web ont placé cette démarche tout en haut de leur "to do list".

    D'ores et déjà vous avez peut-être observé ce type de message dans Google Search Console :

    Google Console HTTPS Warning

    La raison principale invoquée par Google est d'augmenter la sécurité globale des sites web. Le mouvement est lancé, il est inéluctable.

  • La page de Mentions Légales

    Evitez-vous un risque juridique inutile et mettez en conformité votre page de mentions légales.

    La page de mentions légales est obligatoire et doit être accessible à partir de toutes les pages du site. En général, l'emplacement le plus approprié pour placer le lien vers cette page est le pied de page.

    Cette obligation est prévue par l’article 6 de la Loi du 21 Juin 2004, pour la Confiance dans l’Economie Numérique. La sanction pour non-conformité est d’1 an d’emprisonnement et 75 000 € d’amende. Cette sanction très dissuasive a pour objectif d'identifier le responsable de publication de chaque site, de manière à limiter les pratiques de dénigrement, les propos injurieux et les contenus interdits.

    Par ailleurs, en matière de référencement, l’absence de page de mentions légales est un facteur négatif mineur d’évaluation de la part des moteurs de recherche.

    Cette page est facile et rapide à mettre en place ou à modifier, alors autant le faire au plus vite !N'hésitez pas à contacter NosyWeb si vous avez besoin d'aide.

  • En tant que professionnels du web, nous sommes confrontés à de nombreuses solutions d'hébergement, imposées parfois par nos clients, sur leurs sites existants. En termes de performances pures, de support, ou d'environnement d'administration, nous constatons de grandes disparités, concernant les hébergements mutualisés (Partagés ou Cloud).

    Cet article se veut didactique pour tous les professionnels hébergeant leur site Internet Joomla chez l'un des leaders mondial de l'hébergement qu'est OVH. Bien que proposant d'excellentes offres de location de serveurs dédiés ou de solutions d'infogérance pour les entreprises, force est de constater que dans le contexte très précis d'un Joomla tournant sur un hébergement mutualisé OVH, cela peut poser beaucoup de problèmes. En effet, nous relevons dans le tableau ci-dessous tout ce qui va à l'encontre de la valeur ajoutée qu'apporte un CMS comme Joomla dans une stratégie de communication digitale telle que nous la préconisons.

  • Vos données d'analyse Web sont-elles faussées par les visites de robots sur votre site ? Si oui, le chroniqueur Ben Goodsell a la solution.

    La plupart des SEO ont déjà entendu parler de l'utilisation de fichiers de log pour comprendre le comportement de Googlebot, mais peu semblent savoir qu'ils peuvent être utilisés pour identifier les robots malveillants (ou Bad Bots) qui explorent votre site. De plus en plus, ces robots exécutent du JavaScript, gonflent vos statistiques, utilisent des ressources et dupliquent le contenu.

  • Le Règlement Général Européen pour la Protection des Données (RGPD ou GDPR en anglais) entre en vigueur le 25 Mai 2018. Les données sont à caractère personnel et peuvent concerner aussi bien des clients, des utilisateurs récurrents ou des visiteurs occasionnels d'un site. Le RGPD va impacter toutes les structures disposant d'un site internet proposant une intéraction avec des utilisateurs (formulaires, commentaires, téléchargements, espaces privés, likes, achats en ligne, localisation...), et même ceux qui n'offrent pas d'intéraction mais qui effectuent des statistiques de connexion et de tracking. Dès lors que des données à caractère personnel sont stockées dans une base de données, ces nouvelles règles Européennes vont s'appliquer.

    Toutes les structures sont concernées par le RGPD : entreprises, associations, organismes publics...
    Pour faire court, nous sommes tous potentiellement concernés.

  • Joomla 4 a été publié en version de test et même s'il est encore en phase de développement, nous voyons déjà beaucoup de nouvelles fonctionnalités et d’améliorations. Joomla 4 possède un meilleur système de sécurité en exigeant au minimum PHP 7, en utilisant de nouvelles technologies, en supprimant les fonctionnalités obsolètes… Tout cela permet de faciliter la sécurisation des sites Web basés sur Joomla 4.

  •  

    Le principe de consentement du RGPD

    Le Règlement Général sur la Protection des Données, entrant en vigueur le 25 Mai 2018, implique l'accord de toute personne transmettant des données personnelles sur un site internet, pour que ce dernier les conserve dans sa base de données. Les données personnelles pouvant être l'adresse mail, le nom, l'adresse Ip etc... 
    Ces données doivent pouvoir être accessibles pour l'utilisateur en modification et suppression.

    Le consentement doit être donné de manière explicite, sans contrainte ni influence (plus de case pré-cochée).

    Dans ce contexte l'activation par mail de la création de son compte par l'utilisateur (ou principe du "double opt-in"), est à favoriser.

    L'activation par mail est une preuve irréfutable de l'accord de l'utilisateur pour créer son compte et conserver ses donnnées.

  •  

    Dans cet article nous allons voir comment un champ utilisateur va permettre de se conformer à certaines règles imposées par le RGPD (Règlement Général pour la Protection des Données).

    1- Le principe du contentement

    Le consentement consiste à autoriser de manière explicite, sans contrainte ni influence (de type case-précochée), un site à conserver ses propres données personnelles.

    La notion de consentement est théoriquement associée à un type de données : une personne peut vouloir autoriser un site à conserver les informations associées à son compte (email notamment), mais pas les informations relatives à la soumission  d'un questionnaire.
    Cette contrainte théorique et complexe, qui oblige à gérer le consentement par type de traitement et donc par composant au sein de Joomla, ne sera pas traitée ici car inhérente aux fonctionnalités des nombreux composants Joomla. De plus, en raison de sa complexité, ce sujet peut tout à fait évoluer au niveau du RGPD proprement dit.
    Cependant vous trouverez sur notre site un exemple de mise en place de questionnaire incluant le recueil du consentement à la conservation des données, avec RSForm.

    Nous allons donc développer ici la mise en place d'une case à cocher lors de la création du compte utilisateur Joomla : "J'autorise ce site à conserver mes données personnelles". Comme évoqué précédemment, les données personnelles sont celles rattachées au profil du compte.

  • Une des directives du RGPD est d'établir une cartographie des traitements de données personnelles intégrés à votre site internet.
    Il s'agit d'une démarche :

    • d'inventaire des traitements,
    • d'inventaire des chaque donnée de chaque traitement,
    • d'analyse des flux : comment les informations alimentent la base de données et quels traitements éventuels sont ensuite opérés
    • d'identification des moyens concernés : par exemple les composants,
    • de détermination d'une personne responsable.

    Dans ce contexte d'inventaire, une des recommandations du RGPD est de définir quelles sont les données, voire les traitements dans leur ensemble, qui ne nécessitent pas d'être conservés dans la base de données de votre site?

  • Les problèmes lors des migrations de serveur, des installations de composants et de la sécurisation d’un site Joomla proviennent souvent de permissions mal configurées sur les dossiers et les fichiers. 

    Dans ce tutoriel, vous apprendrez à corriger les permissions accordées sur les dossiers et les fichiers en utilisant Admin Tools Core. Ce composant populaire permet de corriger rapidement les autorisations des dossiers et des fichiers.

Contact