Documentation et ressources Joomla! 1.5

Sécuriser un portail Joomla! 1.5

Vous avez mis votre site en ligne ou vous administrez un site Joomla.
Il n'existe pas de protection absolue (d'autant moins en fait que l'applicatif en ligne est puissant et facile d'accès)... Mais il existe des outils et des méthodes qui améliorent la sécurité d'un site Joomla!, notamment en modifiant (voire en condamnant) ses points faibles.

Checklists sécurité Joomla!

• Joomla! Administrators Security Checklist
  La documentation officielle Joomla! propose une checklist (en anglais) pour sécuriser un site Joomla :
  1 - Pour démarrer
  2 - Configuration de l'hébergeur et du serveur
  3 - Tests et développement
  4 - Configuration de Joomla
  5 - Administration du site
  6 - Récupérer le site
• Joomla! Security checklist 2 : hébergeur et serveur
• Check list sécurité sous Joomla de SpyClic : Du choix de l'hébergeur à la configuration d'Apache, PHP et MySQL, en passant par la configuration du fichier .htaccess, l'installation d'un patch de MÀJ Joomla!, les paramètres des extensions tierces, comme DOCMan, Remository, Datso Gallery, etc.
• On notera qu'une sauvegarde régulière est là aussi la meilleure assurance de pouvoir rétablir son site rapidement (ex : extension JoomlaPack).

Dernières infos

• 2 adresse (et flux RSS) majeurs pour se tenir à jour des dernières informations relatives à la sécurité de votre site Joomla 1.5 :
  - Joomla! Security Notification & annoucements le topic officiel sur le forum anglophone ;
  - Son équivalent sur le forum francophone

Principales extensions visant à sécuriser un site Joomla

• Renommer le dossier "administrator" ! constitue déjà une bonne protection (pour protéger l'accès au backend). L'extension jSecure Authentication réalisée par joomlaserviceprovider le facilite.
• Plugin Sentinel : présentation, et préparation & test sur les forums Joomla.fr > Joomla! 1.5.x > Administration > Sécurité. Voir aussi ce topic.
• JTS pour Joomla! Tools Suite (composant Joomla v1.0 et v1.5 Legacy Mode, licence GPL). Modules disponibles :
  JTS-sa Joomla! Tools Suite -standalone : la suite complète.
  HISA-sa : Sous-projet de JTS-sa, il contient un unique script ne nécessitant aucune installation  qui procure aussi bien un audit pré- que post-installation (pas aussi complet que JTS-sa).
  JTS-c : Joomla! Tools Suite -component contains a similar set of -Post installation utilities and assurance checks to JTS-sa
  JTS-snap (Joomla! Tools Suite -snapshot), Module Joomla! Backend
  JTS-assured ; JTS-post : Joomla! Tools Suite -post
• GuardXT (composant et modules Joomla! v1.5, license GPL): Réalise des tests sur la sécurité de votre site Joomla.
  Le coeur de GuardXT est un vérificateur des permissions sur le système de fichiers (l'idéal est de le programmer au moyen d'une tâche cron), qui surveille régulièrement les changements de vos fichiers.
  Modules inclus : Security News, Version Check, File Guard, et Configuration Check.
• Bad Behavior / Bad Behaviour J!1.5N Plugin  GPL
  Un port pour Joomla! 1.5 de Bad Behavior 2.0.28. Bad Behavior est un bloqueur de spambots utilisant une variété de filtres comme les headers HTTP, listes IP, user-agent strings afin de déterminer si le visiteur est un spambot ou un pêcheur.
• foobla Restricted Registration J!1.5N P - GPL 
  Permet d'empêcher à certains noms, emails ou IPs de s'enregistrer.
• http:BL Plugin J!1.5N  GPL
  Permet également de vérifier l'adresse IP des clients se connectant au site grâce au Project Honey Pot.
  Vérifie si le visiteur est un pêcheur d'emails, un spammeur ou tout autre client nocif.
  Autre fonctionnalité ; Vérification fonctino du groupe : Vous pouvez sélectionner quels groupes devraient être filtrés/vérifiés.
  
• phpsecinfo (extension tierce, license New BSD) : procure un équivalent à la fonction phpinfo() en affichant un rapport sur les informations relatives à la sécurité de l'environment PHP. Il propose des suggestions quant aux améliorations possibles. Il ne remplace pas des techniques de développement sécurisées, et ne réalise aucune sorte d'audit de code ou d'application, mais se révèle utile dans une approche sécuritaire à plusieurs niveaux.
• SpyClic surveillance des composants Joomla (fonctionnalité externe, de la société Vimapub à Calais, licence propriétaire, gratuit) : SpyClic (Security for Open Source, en français) met à disposition de la communauté Joomla un site qui permet de vérifier que vos composants Joomla sont à jour (sur inscription + logo « Spyclic » + lien).
  Post sur le forum Joomla.fr ; page officielle

Réglages PHP

Source http://forum.joomla.fr/showthread.php?t=81439

• RECOMMANDÉ sur OFF :
  safe_mode + Register_Globals + display_errors (Joomla)
• RECOMMANDÉ sur ON :
  Magic_Quotes_Gpc (OK pour JTS, mais docs.joomla dit OFF)
• DE PRÉFÉRENCE sur OFF :
  Allow_Url_Fopen (GuardXT) ; Allow_Url_Include ; php_expose
• Fonctions désactivées :
  dl, shell_exec, exec, system, passthru, popen (sinon, PhpSecInfo indique 2 erreurs)

Quelques exemples (parfois drôles, si si)

• Vos témoignages de vos sites hackés sur le forum joomla.fr
• Protect your Website from Leeching with htaccess | Tips and Tutorials : Un beau matin, themebot.com s'apperçoit d'un nombre important de visites totalement inhabituelles sur son site Joomla!
  Un autre site avait intégralement pompé son code pour construire à peu de frais un site (d'arnaque, mais peu importe). La réaction de themebot.com ne s'est pas faite attendre... :MDR: