Guide de sécurisation de Joomla : protégez votre site contre les attaques courantes

La plupart des sites Joomla piratés auraient pu être épargnés. Les attaques exploitent des failles bien connues : identifiant administrateur par défaut, authentification à deux facteurs absente, extensions non mises à jour, serveurs mal configurés. Ce guide passe en revue les mesures de sécurité qui comptent vraiment.

Pour le guide complet, qui couvre les risques liés aux versions en fin de vie, la sécurité des extensions et la récupération après un piratage, consultez notre pôle Sécurité Joomla.

Les cinq priorités à appliquer dès maintenant

1. Tout mettre à jour. Le cœur de Joomla. Chaque extension. La version de PHP. Si votre version de Joomla est en fin de vie, procédez à une migration : aucune mesure de sécurisation ne compensera un CMS qui n'est plus pris en charge.

2. Activer l'authentification à deux facteurs. Joomla 5 et 6 intègrent nativement la 2FA. Activez-la pour chaque compte administrateur. À elle seule, cette mesure bloque la grande majorité des attaques par force brute et par bourrage d'identifiants.

3. Changer l'identifiant administrateur par défaut. Si votre compte Super Administrateur s'appelle encore « admin », changez-le dès aujourd'hui. Les outils d'attaque automatisés ciblent précisément cet identifiant.

4. Supprimer les extensions inutilisées. Chaque extension installée élargit la surface d'attaque. Si elle n'est pas activement utilisée, désinstallez-la complètement : pas seulement désactivée, mais bel et bien supprimée.

5. Vérifier que vos sauvegardes fonctionnent. Disposer de sauvegardes automatiques est indispensable. Mais à quand remonte votre dernier test de restauration ? Une sauvegarde jamais testée relève de l'espoir, pas du filet de sécurité.

Sécurisation au niveau du serveur

HTTPS partout. SSL/TLS sur toutes les pages, imposé via le fichier .htaccess ou la configuration du serveur. Sans exception.

Permissions des fichiers. Répertoires : 755. Fichiers : 644. configuration.php : 444. Ces réglages empêchent toute modification non autorisée des fichiers.

Protection du répertoire d'administration. Ajoutez une protection par mot de passe au niveau du serveur, une restriction par adresse IP ou un paramètre d'URL secret sur votre répertoire /administrator. Vous réduirez ainsi considérablement le volume de tentatives par force brute.

Pare-feu applicatif web (WAF). ModSecurity, LiteSpeed WAF ou un WAF dans le cloud comme Cloudflare protègent contre les injections SQL, les attaques XSS et les inclusions de fichiers, directement au niveau du serveur.

Rapport d'erreurs désactivé. Réglez le rapport d'erreurs de Joomla sur « Aucun » ou « Valeur système par défaut » sur les sites en production. Le mode « Maximum » expose les chemins du serveur et des détails de configuration utiles aux attaquants.

Une sécurité dans la durée

La sécurité n'est pas une configuration que l'on règle une fois pour toutes. Elle exige une surveillance, des mises à jour et une attention continues. Nos forfaits de maintenance incluent la surveillance de la sécurité, la gestion des mises à jour et la vérification des sauvegardes.