Réponses:
Garder un site Web Joomla sécurisé
Pour des instructions plus détaillées, voir la liste de contrôle de sécurité officielle .
Il est très important de stocker les sauvegardes sur un serveur séparé. Je vois beaucoup de gens qui exécutent fidèlement Akeeba Backups ... et qui sont stockés sur le même serveur dans le même répertoire racine. Pas très utile si vous êtes piraté de manière sérieuse, et certainement pas utile pour récupérer d'un échec d'hébergement.
Akeeba Backup Pro vous permet de stocker et de gérer des fichiers de sauvegarde sur un stockage externe, comme le cloud Amazon.
Au lieu de bloquer le fichier .htaccess ou de le verrouiller par IP, vous pouvez également utiliser jSecure pour sécuriser votre connexion administrateur.
Une chose qui n’a pas été mentionnée est l’utilisation d’un fournisseur d’hébergement réputé. Vous voulez un système qui non seulement respecte la sécurité, mais qui fonctionne également avec vous si vous êtes piraté ou en cas de problème (la base de données est corrompue, par exemple). L'idée est de limiter les dommages causés par votre site tout en vous permettant de le nettoyer.
L'idée de base, vous voulez quelqu'un qui ..
Si vous voulez une liste de questions à poser à un hôte pour avoir une meilleure impression, faites le moi savoir.
J'espère que cela t'aides.
Essayez ceci aussi,
robots.txt
pour les dossiers sécurisés.J'espère que ça aide ..
D'après mon expérience, avec la taille de Joomla, il n'y a aucun moyen de le sécuriser complètement. Donc, plutôt que de mettre en place une politique de sécurité parfaite qui arrête tout, son mieux est de réduire vos attentes pour tenter d’atténuer les dégâts.
Cela peut être fait avec une politique de sauvegarde extrêmement fréquente afin que le site puisse être annulé à chaque intrusion, ainsi que les analyses de logiciels malveillants. Jusqu'à présent, pas un seul hack que nous ayons eu n'est dû au fait que notre panel d'administrateurs a été forcé brutalement.
Nous constatons que la plupart des piratages proviennent de composants tiers ou du noyau de Joomla. Nous avons même vu des piratages arriver à se loger dans les dernières versions de Joomla. En effet, le piratage peut ressembler à une requête normale, en utilisant un filtrage incorrect pour envoyer un fichier sur le serveur. Une fois qu'un fichier est sur le serveur, tout est en règle, il peut être sur TOUT site de tout un serveur partagé et tout en affectant le vôtre; ainsi, si une personne sur un serveur partagé ne se tient pas à jour, cela peut vous concerner.
C’est peut-être un peu extrême, mais, en fonction de l’expérience personnelle, il est préférable de se préparer au pire, mais trop confiant pour que votre politique prévienne tout.
Ainsi, le meilleur moyen de sécuriser une nouvelle installation de Joomla est de sauvegarder souvent et d'activer les analyses de logiciels malveillants. Si le scanner de logiciels malveillants peut vous envoyer un e-mail dès qu'il trouve quelque chose, vous pouvez revenir à la dernière sauvegarde dans un délai très court.
Changez le nom d'utilisateur et conservez le mot de passe de l'administrateur, utilisez une authentification à deux facteurs (intégré pour les versions 3.3+, pour les autres http://www.readybytes.net/labs/two-factor-authentication.html ).
Installez kSecure ( http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271 )
Protégez votre site Web contre diverses attaques en utilisant cet htaccess http://docs.joomla.org/Htaccess_examples_(security)
Empruntant cette liste d'un livre blanc "Test de Pen sur un site Joomla" disponible sur le blog. Je pense que cette liste est un guide détaillé des bases de la sécurité de Joomla.
Utilisez des mots de passe forts pour toutes les connexions. Au moins 8 caractères, un caractère spécial, un chiffre et une lettre sensible à la casse. Cela protégera votre installation d'une force brute.
Gardez toujours une trace des «Derniers visiteurs» dans les fichiers journaux du serveur Web pour détecter les attaques potentielles. Ne considérez jamais vos fichiers journaux comme une simple information. C'est très utile pour suivre et surveiller les utilisateurs.
Mettez un peu de pression pour implémenter plus de sécurité sur l’ensemble du serveur sur lequel votre site basé sur Joomla est hébergé; qu'il soit hébergé sur un serveur partagé ou dédié.
Faites une liste de toutes les extensions que vous utilisez et continuez à les surveiller.
Tenez-vous au courant des dernières vulnérabilités et informations divulguées dans divers avis de sécurité. Exploit-db, osvdb, CVE, etc. sont quelques-unes des bonnes ressources.
Modifiez l'autorisation sur votre fichier .htaccess telle qu'elle est par défaut à l'aide des autorisations d'écriture (car Joomla doit le mettre à jour). La meilleure pratique consiste à utiliser 444 (r-xr-xr-x).
Des autorisations de fichier appropriées sur les répertoires publics doivent être données afin que tout fichier malveillant ne puisse être ni téléchargé ni exécuté. La meilleure pratique dans ce contexte est 766 (rwxrw-rw-), c'est-à-dire que seul le propriétaire peut lire, écrire et exécuter. D'autres ne peuvent que lire et écrire.
Personne ne doit avoir la permission d'écrire dans des fichiers PHP sur le serveur. Ils doivent tous être réglés avec 444 (r —r—r--), tout le monde ne peut lire que.
Déléguer les rôles. Cela sécurise votre compte administrateur. Au cas où quelqu'un piraterait votre ordinateur, celui-ci doit avoir accès uniquement à l'utilisateur respectif, et non au compte d'administrateur.
Les utilisateurs de la base de données doivent uniquement être autorisés à donner des commandes telles que les lignes INSERT, UPDATE et DELETE. Ils ne doivent pas être autorisés à DROP des tables.
Modifiez les noms des dossiers principaux, par exemple, vous pouvez changer / administrateur en / admin12345. 16. Dernier point mais non le moindre, restez à jour avec les dernières vulnérabilités.
Votre première ligne de défense est votre service d'hébergement
Votre prochaine ligne de défense est votre cPanel
Votre prochaine ligne de défense est votre panneau d'administrateur
Je suis sûr qu'il y a d'autres étapes, mais ce sont les principales que j'utilise sur mon serveur hébergeant plus de 70 sites Web de partout au pays. J'ai récemment eu une attaque massive similaire à une attaque DDoS et aucun site Web n'a été consulté. Je me sentais un peu à l’avant et à l’épreuve des balles, mais je sais que je ne peux pas être complaisant, car demain sera un autre jour! LOL
Je ne suis pas un partisan de l'authentification à deux facteurs
Installez Akeeba Admin Tools, activez le htaccess avancé, vérifiez les options et le pare-feu logiciel
https://www.akeebabackup.com/download/admin-tools.html