CMS le plus sécurisé & prob avec Joomla
aymoun888
Messages postés
146
Statut
Membre
-
Rahim -
Rahim -
Salut a tous
svp, je voulais savoir quel est le CMS le plus sécurisé
d'ailleurs, j'ai travaillé avec Joomla, et mon site est piraté plus qu'une foi, sachant que j'ai installé, la composante DOCman avec ses modules "mostdownloaded" et "lastdownloaded", aussi j'ai installer un module qui me permet d'inclure un code html,
alors svp la faille est de joomla, ou des modules????
merci
svp, je voulais savoir quel est le CMS le plus sécurisé
d'ailleurs, j'ai travaillé avec Joomla, et mon site est piraté plus qu'une foi, sachant que j'ai installé, la composante DOCman avec ses modules "mostdownloaded" et "lastdownloaded", aussi j'ai installer un module qui me permet d'inclure un code html,
alors svp la faille est de joomla, ou des modules????
merci
A voir également:
- CMS le plus sécurisé & prob avec Joomla
- Mode sécurisé samsung - Guide
- Liste site paiement non sécurisé - Forum Consommation & Internet
- Que faire si achat si site non sécurisé ? - Forum Consommation & Internet
- Pas d'internet sécurisé ✓ - Forum Windows 10
- Nous essayons d’obtenir l’accès sécurisé dont notre conducteur a besoin pour cette livraison. ✓ - Forum Consommation & Internet
4 réponses
Le cms le plus sécurisé actuellement est incontestablement SPIP. Pour sécuriser ton CMS il te faut faire :
1.2.1 Anonymisation des signatures de CMS.
L'anonymisation des CMS est primordiale pour protéger son site Internet, ceci permettra d'éviter deux types de menaces. Tout d'abord, un CMS étant un code source diffusé à très grande échelle, il se peut que ce code contienne des failles de sécurité qui soient publiées. Ainsi, il sera facile pour un pirate appelé « scripts kiddy » de trouver en cherchant une signature sur google des centaines de sites Internet pouvant être piratés en lançant un programme appelé « exploit », programme permettant d'automatisation de l'exécution du piratage.
Par ailleurs, il faudra veiller à ce qu'un pirate expérimenté n'arrive pas à trouver sur quel CMS tourne un site internet en supprimant l'intégralité des preuves permettant son identification, cependant, ceci est très compliqué.
Il faudra premièrement songer à supprimer des templates du CMS toutes les lignes de texte pouvant contenir la version du CMS (généralement ces lignes se trouvent en bas de page). Ensuite, il faudra veiller à protéger l'arborescence des répertoires utilisés dans le CMS, ainsi changer le nom des répertoires sur le serveur, MAIS aussi dans les scripts et dans certaines données de configuration contenues dans la base de donnée du site Internet.
Il faudra par ailleurs penser à supprimer les entêtes des feuilles de style CSS qui, souvent présentent les versions des CMS pour lesquelles elles peuvent être utilisées. TOUS les fichiers secondaires devront être supprimés ( *.txt). On ne peut pas penser à la sécurisation d'un CMS sans penser à la sécurisation de sa page d'administration. Ainsi, éviter les répertoires du type : administrator, admin, ecrire, wp-admin, administration etc. est primordial pour une bonne sécurisation. Le répertoire d'administration devra donc être renommer pour le cacher.
Par ailleurs, il faudra veiller à sur-sécuriser ce qui peut l'être, exemple, une simple zone d'administration sera bien mieux sécurisée avec un fichier .htaccess bien paramétré en plus. De même, tous les répertoires devront être indexés en conséquence, même s'ils ne possèdent pas de fichiers critiques, il est toujours préférable de ne laisser au pirate aucun aperçu de la totalité des fichiers contenus dans les répertoires.
Certains administrateurs pensent ajouter les modules à leurs CMS permettant notamment d'archiver la base de donnée ou autres. Faites attention, car ce qui dit plus de modules, dit plus de scripts donc, plus de failles possibles. Il faudra donc veiller à voir si le modules ajouté ne comporte pas de faille, pour cela, une simple recherche google du type « nom du modules »+ vulnerabilities donnera certains résultats s'il présente des vulnérabilités.
1.2.2 Veille sur les vulnerabilités des scripts.
La sécurisation d'un site internet n'est pas effective dès que l'on a appliqué quelques outils permettant de sécuriser les principales failles, mais bien dans le temps. Ainsi, il faudra veiller à la sécurité tout au long de l'existence du site en recherchant certains bulletins de sécurité affectant vos scripts utilisés sur votre site Internet.
Plusieurs sites mettent à disposition des bulletins de sécurité que l'on peut notamment récupérer en flux RSS, ceci permettra donc une vision globale des failles découvertes jours après jours. Effectivement, ce travail est long, mais la sécurisation d'un système d'information passe obligatoirement par là.
Le risque 0 dans ce type de sécurisation n'existe pas. Tout d'abord, un groupe de pirate aura peut-être trouvé une faille dans un de vos scripts qu'il n'aura pas publié pour pouvoir l'exploiter avant qu'il n'y ait de correctifs publiés. Ensuite, la sécurité d'un site Internet ne se présente pas, contrairement à ce que beaucoup de personnes disent, que dans la sphère applicative propre au site internet, mais aussi dans celle du serveur et celle de l'environnement utilisateur (administrateur.).
-- [Dossier à paraitre dans quelques jours sur http://www.rahimblakblog.fr ]--
1.2.1 Anonymisation des signatures de CMS.
L'anonymisation des CMS est primordiale pour protéger son site Internet, ceci permettra d'éviter deux types de menaces. Tout d'abord, un CMS étant un code source diffusé à très grande échelle, il se peut que ce code contienne des failles de sécurité qui soient publiées. Ainsi, il sera facile pour un pirate appelé « scripts kiddy » de trouver en cherchant une signature sur google des centaines de sites Internet pouvant être piratés en lançant un programme appelé « exploit », programme permettant d'automatisation de l'exécution du piratage.
Par ailleurs, il faudra veiller à ce qu'un pirate expérimenté n'arrive pas à trouver sur quel CMS tourne un site internet en supprimant l'intégralité des preuves permettant son identification, cependant, ceci est très compliqué.
Il faudra premièrement songer à supprimer des templates du CMS toutes les lignes de texte pouvant contenir la version du CMS (généralement ces lignes se trouvent en bas de page). Ensuite, il faudra veiller à protéger l'arborescence des répertoires utilisés dans le CMS, ainsi changer le nom des répertoires sur le serveur, MAIS aussi dans les scripts et dans certaines données de configuration contenues dans la base de donnée du site Internet.
Il faudra par ailleurs penser à supprimer les entêtes des feuilles de style CSS qui, souvent présentent les versions des CMS pour lesquelles elles peuvent être utilisées. TOUS les fichiers secondaires devront être supprimés ( *.txt). On ne peut pas penser à la sécurisation d'un CMS sans penser à la sécurisation de sa page d'administration. Ainsi, éviter les répertoires du type : administrator, admin, ecrire, wp-admin, administration etc. est primordial pour une bonne sécurisation. Le répertoire d'administration devra donc être renommer pour le cacher.
Par ailleurs, il faudra veiller à sur-sécuriser ce qui peut l'être, exemple, une simple zone d'administration sera bien mieux sécurisée avec un fichier .htaccess bien paramétré en plus. De même, tous les répertoires devront être indexés en conséquence, même s'ils ne possèdent pas de fichiers critiques, il est toujours préférable de ne laisser au pirate aucun aperçu de la totalité des fichiers contenus dans les répertoires.
Certains administrateurs pensent ajouter les modules à leurs CMS permettant notamment d'archiver la base de donnée ou autres. Faites attention, car ce qui dit plus de modules, dit plus de scripts donc, plus de failles possibles. Il faudra donc veiller à voir si le modules ajouté ne comporte pas de faille, pour cela, une simple recherche google du type « nom du modules »+ vulnerabilities donnera certains résultats s'il présente des vulnérabilités.
1.2.2 Veille sur les vulnerabilités des scripts.
La sécurisation d'un site internet n'est pas effective dès que l'on a appliqué quelques outils permettant de sécuriser les principales failles, mais bien dans le temps. Ainsi, il faudra veiller à la sécurité tout au long de l'existence du site en recherchant certains bulletins de sécurité affectant vos scripts utilisés sur votre site Internet.
Plusieurs sites mettent à disposition des bulletins de sécurité que l'on peut notamment récupérer en flux RSS, ceci permettra donc une vision globale des failles découvertes jours après jours. Effectivement, ce travail est long, mais la sécurisation d'un système d'information passe obligatoirement par là.
Le risque 0 dans ce type de sécurisation n'existe pas. Tout d'abord, un groupe de pirate aura peut-être trouvé une faille dans un de vos scripts qu'il n'aura pas publié pour pouvoir l'exploiter avant qu'il n'y ait de correctifs publiés. Ensuite, la sécurité d'un site Internet ne se présente pas, contrairement à ce que beaucoup de personnes disent, que dans la sphère applicative propre au site internet, mais aussi dans celle du serveur et celle de l'environnement utilisateur (administrateur.).
-- [Dossier à paraitre dans quelques jours sur http://www.rahimblakblog.fr ]--
Bonjour,
Le problème avec les CMS, est que le code source est connu de tout le monde, c'est donc plus facile pour un pirate de trouver la faille.
Par ailleurs, le fait d'ajouter des modules ou des scripts extérieurs augment le risque de failles de sécurité, je l'ai souvent vérifié avec mon CMS (Phortail), j'ai dû retirer certains modules proposés en téléchargement ou des scripts à mettre en place manuellement, sur les conseils de notre développeur qui avait décelé de graves failles de sécurité dans ces scripts extérieurs, donc méfiance.
Il faut aussi te tenir au courant des mises à jour qui très souvent réparent ces failles de sécurité.
Le problème avec les CMS, est que le code source est connu de tout le monde, c'est donc plus facile pour un pirate de trouver la faille.
Par ailleurs, le fait d'ajouter des modules ou des scripts extérieurs augment le risque de failles de sécurité, je l'ai souvent vérifié avec mon CMS (Phortail), j'ai dû retirer certains modules proposés en téléchargement ou des scripts à mettre en place manuellement, sur les conseils de notre développeur qui avait décelé de graves failles de sécurité dans ces scripts extérieurs, donc méfiance.
Il faut aussi te tenir au courant des mises à jour qui très souvent réparent ces failles de sécurité.
Je fais ce paper pour la sécurité des organisations et associations, donc des cibles privilégiées par des certaines formes d'hacktivisme.
-- [ http://www.rahimblakblog.fr ] --
-- [ http://www.rahimblakblog.fr ] --
Après à toi de voir si tu veux te coder un truc "homemade" et que tu connais parfaitement ton code, ou avoir un CMS qui peut lui aussi être faillible et localisé par une simple recherche google permettant des attaques de masse genre "turkish hackerz group". Par ailleurs, tu peux changer et non supprimer les signatures, exemple, les mettre en image avec une petite bannière sans faire paraitre la version.
Cependant, ceci peut surtout aller contre lal icence d'utilisation du CMS :
Certains CMS sont gratuits et libres d'utilisation, sous réserve de mentionner leur nom et/ou l'adresse web.