Guide de sécurité Joomla — protégez votre site contre les menaces

La plupart des failles de sécurité sur Joomla sont évitables. Elles ne résultent pas d'attaques sophistiquées contre le cœur de Joomla, mais d'installations obsolètes, d'extensions non corrigées, d'identifiants administrateur trop faibles et d'environnements d'hébergement mal configurés. Ce guide couvre les mesures de sécurité qui comptent vraiment pour protéger votre site Joomla.

Le risque numéro un : utiliser une version de Joomla en fin de vie

Aucun renforcement de la sécurité ne compense l'utilisation d'une version de Joomla qui n'est plus prise en charge. Si votre site tourne sous Joomla 3 (fin de vie en août 2023) ou Joomla 4 (fin de vie en octobre 2025), la mesure de sécurité la plus importante consiste à migrer vers une version maintenue.

Les versions de Joomla qui ne sont plus prises en charge ne reçoivent plus de correctifs de sécurité. Lorsqu'une vulnérabilité est découverte et corrigée dans Joomla 5 ou 6, la même vulnérabilité reste ouverte — définitivement — dans Joomla 3 et 4. Les détails de la faille sont publiés dans le Centre de sécurité de Joomla, ce qui fournit de fait aux pirates une feuille de route pour exploiter les anciennes installations.

Voir tous les parcours de migration →

Les extensions : votre plus grande surface d'attaque

La majorité des failles de sécurité sur Joomla proviennent d'extensions tierces, et non du cœur de Joomla. La raison est simple : la qualité du code des extensions varie énormément, les extensions abandonnées ne reçoivent plus aucun correctif de sécurité, et un site Joomla typique compte de 15 à 50 extensions installées — autant de points d'entrée potentiels.

Bonnes pratiques de sécurité pour les extensions

  • Supprimez ce que vous n'utilisez pas. Chaque extension installée constitue une surface d'attaque. Si une extension est installée mais n'est pas activement utilisée, désinstallez-la complètement : la désactiver ne suffit pas, car le code reste présent sur le serveur et peut toujours être accessible.
  • Mettez à jour sans tarder. Lorsqu'une extension publie une mise à jour, appliquez-la — surtout si le journal des modifications mentionne des correctifs de sécurité. Testez d'abord en préproduction, puis déployez.
  • Surveillez les extensions abandonnées. Si une extension n'a pas été mise à jour depuis plus de 12 mois, considérez-la comme abandonnée et prévoyez de la remplacer. Une extension abandonnée ne recevra plus jamais de correctif de sécurité.
  • Consultez la liste des extensions vulnérables. Le Joomla Extensions Directory tient à jour une liste des extensions présentant des vulnérabilités connues. Vérifiez vos extensions installées au regard de cette liste.
  • Privilégiez la qualité à la quantité. Utilisez le minimum d'extensions nécessaire. Avant d'installer une nouvelle extension, vérifiez que la fonctionnalité n'est pas déjà disponible dans le cœur de Joomla ou dans une extension que vous possédez déjà.

Pour des recommandations d'extensions, consultez notre Guide des extensions Joomla.

Renforcer l'accès administrateur

Des identifiants robustes

N'utilisez pas « admin » comme nom d'utilisateur administrateur. N'utilisez pas de mots de passe simples. Servez-vous d'un gestionnaire de mots de passe pour générer des mots de passe uniques et complexes pour chaque compte administrateur de Joomla. C'est une règle d'hygiène élémentaire, et pourtant elle reste la faiblesse la plus courante que nous rencontrons lors de nos audits de sites.

Authentification à deux facteurs (2FA)

Joomla 5 et 6 intègrent nativement l'authentification à deux facteurs. Activez-la pour tous les comptes administrateur. La 2FA ajoute une seconde étape de vérification — généralement un code temporaire fourni par une application d'authentification — qui empêche tout accès non autorisé, même si le mot de passe est compromis. Il n'y a aucune bonne raison de s'en passer.

Limitez les accès administrateur

Tous les utilisateurs du back-end n'ont pas besoin d'un accès Super Administrateur. Le système de groupes d'utilisateurs de Joomla vous permet de créer des rôles dotés de permissions précises et restreintes. Les rédacteurs doivent disposer de droits d'édition de contenu, et non d'un accès à la configuration du système. Le principe du moindre privilège s'applique à l'accès à un CMS comme à n'importe quel autre système.

Protection du répertoire d'administration

Ajouter une couche de protection supplémentaire à votre répertoire /administrator — via une protection par mot de passe au niveau du serveur (.htpasswd), une restriction par adresse IP ou un paramètre d'URL secret — rend nettement plus difficile la découverte et l'attaque de votre page de connexion par des outils automatisés. Cela ne remplace pas des identifiants robustes et la 2FA, mais cela réduit le volume de tentatives de force brute que votre site doit absorber.

Sécurité du serveur et de l'hébergement

Version de PHP

Utilisez la dernière version de PHP prise en charge (PHP 8.2 ou 8.3 pour Joomla 5/6). Les anciennes versions de PHP ne reçoivent plus de correctifs de sécurité. Faire tourner Joomla sur une version de PHP non prise en charge annule une grande partie des améliorations de sécurité apportées au CMS lui-même.

Permissions des fichiers

Des permissions de fichiers correctes empêchent toute modification non autorisée de vos fichiers Joomla. En règle générale : les répertoires doivent être en 755, les fichiers en 644, et le fichier configuration.php en 444 (lecture seule). Votre environnement d'hébergement peut exiger des réglages légèrement différents — consultez votre hébergeur en cas de doute.

SSL/TLS (HTTPS)

L'intégralité de votre site doit être servie en HTTPS. Cela protège les données échangées entre vos visiteurs et votre serveur — y compris les identifiants de connexion, les formulaires soumis et les cookies de session. Il n'existe aucune raison légitime de servir un site Joomla en HTTP en 2026. Des certificats SSL gratuits sont disponibles via Let's Encrypt et la plupart des hébergeurs.

Pare-feu applicatif (WAF)

Un pare-feu applicatif (WAF) filtre les requêtes malveillantes avant qu'elles n'atteignent votre installation Joomla. Les WAF au niveau serveur (ModSecurity, LiteSpeed WAF) ou les WAF dans le cloud (Cloudflare, Sucuri) protègent contre les attaques courantes, notamment les injections SQL, le cross-site scripting (XSS) et les tentatives d'inclusion de fichiers.

Sauvegardes régulières

Les sauvegardes sont votre dernière ligne de défense. Si un incident de sécurité survient malgré toutes les mesures préventives, une sauvegarde saine et testée vous permet de restaurer votre site dans l'état antérieur à la compromission. Des sauvegardes quotidiennes automatisées, stockées hors du serveur et accompagnées de tests de restauration réguliers, sont indispensables. Akeeba Backup est l'outil de référence pour cela.

Configuration de la sécurité du cœur de Joomla

Maintenez Joomla à jour

Appliquez les mises à jour du cœur de Joomla sans tarder dès leur publication. Testez d'abord en préproduction, puis déployez en production. Joomla 5.4 et 6 prennent en charge les mises à jour automatiques des versions mineures — activez cette fonctionnalité si vous êtes sûr de la compatibilité de vos extensions, ou faites appel à un prestataire de maintenance pour gérer les mises à jour de façon maîtrisée.

Paramètres de sécurité de la configuration globale

La configuration globale de Joomla comporte plusieurs réglages liés à la sécurité. Le forçage du HTTPS doit être activé. La durée de vie des sessions doit être réglée sur une valeur raisonnable (15 à 30 minutes pour les sessions administrateur). Le rapport d'erreurs doit être réglé sur « Aucun » ou « Par défaut du système » sur les sites en production (jamais sur « Maximum » — ce réglage révèle les chemins du serveur et des détails de configuration à d'éventuels pirates).

Inscription des utilisateurs

Si votre site n'a pas besoin d'inscriptions publiques, désactivez-les. Une inscription ouverte est un vecteur courant de comptes indésirables et, sur des installations mal configurées, peut être exploitée pour une élévation de privilèges. Si vous avez réellement besoin d'inscriptions publiques, mettez en place un CAPTCHA et exigez une vérification par e-mail.

Que faire si votre site est piraté

Si vous suspectez que votre site Joomla a été compromis :

  1. Ne paniquez pas, mais agissez vite. Plus une compromission dure, plus elle cause de dégâts — à vos données, à vos visiteurs et à votre réputation.
  2. Mettez le site hors ligne. Affichez une page de maintenance pour éviter d'exposer vos visiteurs à des contenus malveillants.
  3. Ne vous contentez pas de restaurer une sauvegarde. La vulnérabilité à l'origine de la compromission existe toujours. Restaurer sans en traiter la cause profonde permet au pirate de revenir par la même faille.
  4. Identifiez le point d'entrée. Déterminez comment le pirate a obtenu l'accès : une extension non corrigée, un mot de passe faible, une faille de téléversement de fichiers ou un problème au niveau du serveur ?
  5. Nettoyez la compromission. Supprimez tous les fichiers malveillants, les scripts de porte dérobée et le code injecté. Vérifiez la présence de contenu injecté dans la base de données. Passez en revue les comptes utilisateurs à la recherche d'administrateurs non autorisés.
  6. Corrigez la vulnérabilité. Mettez à jour le composant exploité, changez tous les mots de passe et appliquez les mesures préventives décrites dans ce guide.
  7. Restaurez et vérifiez. Remettez le site en ligne et surveillez-le de près pour détecter tout signe de nouvelle compromission.
  8. Envisagez de faire appel à un professionnel. Nettoyer en profondeur un site piraté demande une réelle expertise. Un script de porte dérobée oublié, et le pirate conserve l'accès même lorsque vous pensez le site assaini.

La sécurité est un travail continu

La sécurité n'est pas une configuration ponctuelle. Les menaces évoluent, de nouvelles vulnérabilités sont découvertes et l'écosystème des extensions change en permanence. Une maintenance structurée et continue — mises à jour régulières, surveillance et revues de sécurité périodiques — reste le moyen le plus fiable de maintenir un site Joomla sécurisé dans la durée.

Nos forfaits de maintenance incluent la surveillance de la sécurité, la gestion des mises à jour et la vérification des sauvegardes parmi nos prestations de base. Notre hébergement infogéré assure une sécurité au niveau serveur : pare-feu, protection anti-DDoS et surveillance proactive.

Demandez un diagnostic de sécurité

Notre audit gratuit comprend un diagnostic de sécurité : nous vérifions votre version de Joomla, votre version de PHP, l'état de vulnérabilité de vos extensions, votre configuration SSL et les erreurs de configuration courantes. Vous recevez un rapport clair montrant où en est votre site et ce qui mérite votre attention.

Obtenez votre diagnostic de sécurité gratuit →

Ces contenus pourraient aussi vous intéresser