Liste de contrôle de sécurité / Pour commencer
From Joomla! Documentation
< Security Checklist
|
Questions de sécurité
- La sécurité sur l'internet est un défi qui évolue rapidement et une menace permanente. Il n'y a pas une seule bonne façon de sécuriser un site web, et toutes les méthodes de sécurité sont sujettes à l'obsolescence instantanée, à l'amélioration incrémentale et à la révision constante. Tous les sites web accessibles au public sont exposés à des attaques constantes. Êtes-vous prêt et capable d'investir le temps nécessaire à l'administration d'un site web dynamique, accessible 24 heures sur 24, 7 jours sur 7, accessible au monde entier, basé sur une base de données, interactif et authentifié par l'utilisateur ? Avez-vous le temps et les ressources nécessaires pour répondre au flux constant de nouveaux problèmes de sécurité sur Internet ? Le Top 10 des astuces d'administrateur les plus stupides est un regard comique/tragique sur ce qui peut mal tourner. N'apprenez pas ces astuces à la dure ! En fonction de votre propre expérience, la lecture des Trucs les plus stupides vous fera rire ou pleurer. Heureusement, il existe des principes bien établis sur lesquels vous pouvez baser vos plans de défense. Les listes de contrôle suivantes vous orientent vers les meilleures pratiques actuelles en matière de sécurité pour Joomla.
Comment lire ces documents
- Toutes les techniques ne conviennent pas à tous les niveaux d'expérience. Appliquez les techniques que vous comprenez et renseignez-vous sur celles que vous ne comprenez pas.
- Toutes les techniques ne conviennent pas à tous les serveurs. Si vous utilisez un serveur partagé, vous devez vous fier aux paramètres établis par votre fournisseur d'hébergement. Si vous utilisez un serveur virtuel ou dédié, vous pouvez appliquer des tactiques de sécurité plus créatives.
- Toutes les tactiques de sécurité ne sont pas adaptées à toutes les versions de Joomla. Lorsqu'une technique ne s'applique qu'à une seule version, elle est signalée par l'une des icônes suivantes :
Les lignes directrices les plus importantes
- Ces listes de contrôle sont longues et s'allongent parce que l'ensemble de l'intrigue est épais, complexe et en expansion, mais ne désespérez pas ! Voici quelques lignes directrices essentielles pour sécuriser n'importe quel site web. En les suivant, vous vous protégerez de la plupart des catastrophes.
- Sauvegardez tôt et souvent: Mettez en place (et utilisez et testez) un processus régulier de sauvegarde et de récupération. Lorsqu'il est bien fait, ce processus garantit que vous pouvez vous remettre de presque tous les désastres imaginables.
- Mettre à jour tôt et souvent: Mettez rapidement à jour la dernière version stable de Joomla ! et toutes les extensions tierces installées. Cela garantit que votre site est protégé contre les vulnérabilités les plus récentes dès qu'un correctif est publié et contre les méthodes d'attaque les plus récentes dès qu'une défense est mise au point.
- Utiliser un hébergeur sécurisé : Utilisez un hébergeur de qualité. Ne vous laissez pas abuser par les offres de "bande passante illimitée, espace disque illimité, bases de données illimitées, etc.
- Utiliser la communauté : N'oubliez pas le dicton : "Si une affaire est trop belle pour être vraie, c'est qu'elle l'est." Il semble que rien sur Terre ne soit illimité, sauf peut-être la crédulité des imbéciles et la cupidité de ceux qui les exploitent. Envisagez de faire appel à une assistance professionnelle si vous n'avez pas suffisamment d'expérience ou de connaissances dans ce domaine. L'un des avantages des logiciels GNU est que l'assistance aux utilisateurs est gratuite. Profitez-en en posant de bonnes questions sur le Joomla ! Forums. Ce faisant, veillez à utiliser le forum le plus approprié, tel que Installation, Migration et mise à jour, Administration.
- Les messages les plus utiles du forum de sécurité de Joomla ! sont convertis en FAQ sur la sécurité et les performances. La plupart des éléments de cette liste sont expliqués plus en détail dans les FAQ.
- Vous pouvez lire l'excellent Guide du débutant absolu pour Joomla !. Il contient une multitude de conseils et d'astuces présentés dans un format facile à comprendre. Même les utilisateurs expérimentés de Joomla y trouvent de bonnes idées.
- Recherchez les nombreuses pépites de sagesse trouvées dans les Joomla ! Forums, en particulier le Joomla ! 3.x Security Forum
- Pour recevoir toutes les annonces relatives à la sécurité de Joomla, abonnez-vous à Joomla Security News. Il y a plusieurs façons de s'abonner :
Les mauvaises nouvelles
- Il n'y a pas de sécurité parfaite sur le Web! Comme le diraient les économistes, "il n'y a pas de repas gratuit". Ne vous laissez pas abuser par la facilité d'utilisation primée de Joomla. Il n'est pas facile de maintenir un site web sécurisé sur l'internet ouvert. Le maintien d'une sécurité adéquate nécessite un large éventail de compétences et de connaissances, une vigilance constante et un processus de sauvegarde et de récupération solide.
- Il n'y a pas qu'une seule bonne façon de faire! En raison de la variété et de la complexité des systèmes web modernes, les problèmes de sécurité ne peuvent être résolus par des solutions simples et universelles. Vous (ou une personne de confiance) devez en savoir suffisamment sur l'infrastructure de votre serveur pour prendre des décisions valables en matière de sécurité. Une sécurité solide est une cible mouvante. L'expert d'aujourd'hui peut être la victime de demain. Bienvenue dans le game...
- Rien ne remplace l'expérience! Pour sécuriser votre site Web, vous devez acquérir une véritable expérience (dont certaines seront amères) ou obtenir l'aide expérimentée d'autres personnes. Si vous n'avez pas investi le temps nécessaire pour apprendre à gérer un site Web sécurisé, assurez-vous de pouvoir consulter quelqu'un qui l'a fait. Lisez cette description ironique des 10 astuces les plus stupides des administrateurs qui illustre des exemples typiques, coup par coup, de la façon d'apprendre la sécurité Web à la dure.
Les bonnes nouvelles
- Même un débutant peut commencer à la tête du troupeau Les forums d'utilisateurs de nombreux systèmes sont encombrés de messages Aidez-nous ! J'ai été piraté par des personnes qui n'ont PAS suivi les pratiques de sécurité standard. Si vous étudiez cette liste de contrôle avant que votre site ne soit attaqué, félicitations, vous avez déjà une longueur d'avance sur le troupeau.
- Ce n'est pas aussi difficile que cela en a l'air S'il s'agit de l'un de vos premiers sites web, les problèmes de sécurité peuvent vous sembler insurmontables, mais vous n'êtes pas obligé de les régler tous en même temps. Commencez par les problèmes les plus importants. Au fur et à mesure que vous vous familiariserez avec les outils et les techniques GNU, notamment GNU/Linux, Apache, MySQL, SQL, PHP, HTTP, CSS, XML, RSS, TCP/IP, FTP, Git, JavaScript, et Joomla !, vous ajouterez des améliorations à votre ensemble de tactiques de sécurité.
- Vous pouvez obtenir de l'aide Si vous pensez que votre site web a été attaqué, ne le faites pas en publiant simplement une annonce avec tous les détails dans les forums de Joomla ! Si vous êtes confronté à une nouvelle vulnérabilité ou à une nouvelle forme d'attaque, la publication de ces informations pourrait mettre d'autres sites web en danger. Signalez plutôt les éventuelles failles de sécurité au Joomla ! Security Task Force.