Protéger et éventuellement cacher l'origine Joomla! d'un site

Des visiteurs indésirables peuvent repérer que votre site est construit avec Joomla! et se servir de cette information à des fins peu reluisantes.

Il y a ceux qui vont essayer de pirater le site en testant des failles connues de Joomla! lui-même ou d'une de ses extensions ; d'autres pourraient vous contacter par mail ou téléphone pour simplement vous proposer leurs services, mais aussi, histoire de vous faire peur et de vous forcer la main, en vous faisant croire que votre site n'est pas à jour, voire qu'il est vérolé, même si vous ou le prestataire qui le gère le tenez scrupuleusement à jour et le surveillez attentivement.

Cet article a pour but de vous donner quelques directions pour vous protéger au mieux de ces indésirables.

En ce qui concerne les tentatives de piratage, à voir ce que peuvent enregistrer comme erreurs 404 les logs sur les serveurs ou la table des redirections du site lorsque la collecte de ces erreurs est activée dans le plugin de redirection, on peut dire que le plus souvent les pirates tirent à tout vat sans se soucier du CMS utilisé. On le voit par la présence dans ces adresses de termes concernant d'autres CMS. Dans ce cas, la solution est d'abord de sécuriser le site, de le tenir à jour en accédant régulièrement à l'administration pour savoir si des extensions utilisées ont une nouvelle version, de ne pas négliger les alertes reçues par mail depuis le site lorsqu'une nouvelle version de Joomla! vient de paraître, surtout lorsqu'il y a correction de failles récemment découvertes (à vérifier éventuellement sur https://www.joomla.fr). Cette première démarche est essentielle.

Dans la configuration générale de Joomla!, par défaut, le paramétrage masque la version dans le code-source des pages : cela permet d'éviter que le site soit ciblé en fonction de celle-ci, mais d'autres moyens permettent aux curieux qui le veulent vraiment de la connaitre. Nous y reviendrons, ce sera la deuxième phase de sécurisation, non indispensable mais fortement conseillée.

À ce stade, les démarcheurs indésirables ne sont pas exclus, car ils peuvent aisément savoir quelle est la version de Joomla! utilisée. Quelles que soient les diverses protections que vous appliquerez, l'analyse du code-source des pages pourra leur donner suffisamment d'indications leur permettant de savoir que vous utilisez bien Joomla!, même s'ils sont bloqués dans leur recherche de sa version.

Si vous recevez un mail ou un appel téléphonique d'une telle société et qu'elle vous propose simplement de s'occuper de la maintenance de votre site, cela peut vous agacer mais à vous de voir si vous en avez besoin ou si vous souhaitez changer de prestataire... Mais avant d'accepter, faites quelques recherches sur les offres, le lien prestataire-client devant être à mon sens basé sur une totale confiance.

Mais si le contact est justifié par des allégations vous assurant que votre site n'est pas à jour ou qu’il a été piraté, et surtout si avez confiance en votre propre prestataire ou en vos capacités à gérer vous-même votre site, ne vous laissez pas tenter d'accepter illico une intervention de leur part.

Si vous avez un prestataire habituel, contactez-le et prenez son avis ; si vous n'en avez pas, interrogez le forum francophone https://forum.joomla.fr pour avoir des avis multiples. En attendant, vérifiez vous-même si aucune mise à jour n'est à faire. Joomla! 3 signale dès sa page d'accueil d'administration si tel est le cas, pour Joomla! comme pour ses extensions installées et bénéficiant des alertes.
Dans le menu "Extensions->Gérer->Mises à jour", n'hésitez pas à "Purger le cache" et/ou à cliquer sur "Rechercher des mises à jour", celles-ci n'y étant pas toujours affichées d'emblée. Certaines extensions n'utilisant pas encore le système de mise à jour signalant celles-ci dans l'administration, il pourra être nécessaire de vérifier sur le site de leur auteur ; si vous avez un doute sur le numéro de version de plus récent de Joomla!, vérifiez sur https://www.joomla.fr ou https://www.joomla.org et pour les extensions une recherche sur https://extensions.joomla.org peut éventuellement être plus rapide qu'aller visiter le site de chaque auteur.
Pour ce qui est d'un éventuel piratage, vous pouvez déjà tester vous-même votre site sur https://sitecheck.sucuri.net avant de contacter votre prestataire ou le forum.

La protection générale du site, étant entendu qu'impérativement on n'utilise jamais le pseudo "admin" et que le mot de passe d'accès à l'administration doit être solide, peut s'établir à plusieurs niveaux. Un des plus simples est de ne pas permettre l'accès direct à la page de connexion à l'administration : couple .htaccess/.htpasswd ou plus simplement des plugins comme AdminExile ou EasyCalcCheck + qui nécessitent l'ajout d'un identifiant spécifique à l'adresse de la page pour qu'elle s'ouvre ; l'authentification en deux étapes est aussi disponible.

Pour aller plus loin, des extensions plus complètes comme AdminTools, extension de Joomla!, ou aeSecure plus généraliste et agissant en amont (que j’utilise moi-même) vont permettre d'affiner, aeSecure ayant aussi des fonctionnalités d'optimisation notamment dans ses versions Premium et supérieures. Interdire l'accès à certains fichiers, masquer les erreurs système, empêcher l'accès aux infos de version, etc. sont un vrai "plus" que je vous conseille fortement !

On peut masquer totalement le fait que le générateur du site est Joomla! ou le remplacer par un autre libellé, allant plus loin que masquer sa version, comme je l'ai dit au début. Ce masquage peut n'être pas désiré. Avec la protection complète dont je viens de parler, en laissant ces infos, on peut signaler que c'est bien le CMS Joomla! sur lequel est construit le site, mais on interdit les visiteurs trop curieux d'en savoir plus. Et dans ce cas, être contacté par quelqu'un qui vous affirme que votre site n'est pas à jour ou sain doit impérativement vous paraître suspect !