Le 25 octobre dernier, le groupe de développement du CMS Joomla! a publié une mise à jour destinée à combler une faille de sécurité importante découverte quelques jours plus tôt.

Cette faille a été jugée critique car elle permet à un pirate de créer un compte utilisateur, avec des droits d'accès élevés (jusqu'à Administrateur du site !), même si la création de nouveaux comptes est désactivée dans les préférences de Joomla!.

Elle concerne les versions entre la 3.4.4 et la 3.6.3 et la version publiée avec le correctif est la 3.6.4.

Mesures à prendre

Si vous n'avez pas encore mis à jour votre site vers la dernière version 3.6.4, nous vous recommandons de le faire sans tarder. Les attaques exploitant cette faille ayant démarré dans les 24 heures de l'annonce, il est plus que probable que votre site a déjà été compromis s'il n'a pas été mis à jour. Vérifiez soigneusement la liste de vos utilisateurs (dans la partie administration du site, Utilisateurs > Utilisateurs) et désactivez (ou supprimez) ceux qui vous semblent suspects. Recherchez principalement ceux qui pourraient avoir "db_cfg" comme identifiant ou "" comme adresse email (informations révélées par Sucuri), ou toute autre adresse email suspecte (en .ru le plus souvent).

Si vous pensez avoir été piraté et avez besoin d'aide, n'hésitez pas à nous contacter pour nettoyer votre site.

Habituellement, le centre de sécurité de Joomla!, qui tient à jour la liste des extensions vulnérables (Live VEL), rapporte des failles de sécurité dans des composants, des modules ou des plugins assez obscurs, développés il y a des années et en général classés comme "abandonware". Ce terme signifie que le site du développeur a disparu et/ou que l'extension n'a plus été développée depuis très longtemps.

Cependant cette fois Live VEL annonce un problème de sécurité dans une version récente du composant de forum Kunena. Il s'agit de la version 4.0.10 et la faille de sécurité est du type "information disclosure". C'est un problème de confidentialité : dans certaines circonstances, des utilisateurs peuvent avoir connaissance d'informations auxquelles ils ne devraient pas avoir accès.

L'équipe de développement de Kunena a réagi très rapidement en publiant une mise à jour du composant (4.0.11). Toujours soucieux de la sécurité des sites que nous gérons, nous avons appliqué immédiatement cette mise à jour chez nos clients concernés. Si vous utilisez cette extension, nous vous incitons à faire de même sans tarder.

C'est une occasion de rappeler quelques conseils en matière d'extensions Joomla! (et c'est valable pour les autres CMS également) :

• Toujours effectuer les mises à jour des composants dès leur publication, surtout s'il s'agit de combler des failles de sécurité. Si votre site est hébergé chez Betterliving, pas de souci : ces mises à jour sont incluses dans votre abonnement et nous nous chargeons du boulot.
• Ne pas installer ou conserver d'extensions dont le développement n'est plus assuré
• Ne jamais télécharger une extension depuis un site autre que celui du développer officiel ou du répertoire d'extensions Joomla! (JED). 

La sécurité de tous dépend de la vigilance de chacun.

Liens utiles

Live VEL

Site de développement de Kunena

Annonce de la sortie de la version 4.0.11 et lien de téléchargement

Répertoire d'extensions Joomla! (JED)

Un visiteur du site nous a posé une question intéressante :

Dans la base de données de Joomla 2.5  ou 3, comment le lien avec les images d'un article est-il réalisé ? Le but est de récupérer les articles avec leurs images associées de Joomla 2.5 pour les incorporer dans Joomla 3. Je ne souhaite pas faire la mise à jour j2.5 -> j3.

Répondons d'abord à la première question.

Dans un article précédent, nous donnions plusieurs raisons de remplacer le formulaire de contact de Joomla! par une version améliorée en utilisant le composant Fabrik. Aujourd'hui, nous ajoutons une nouvelle raison de le faire : lutter contre le spam de robots dans les formulaires.

Pour les clients que nous hébergeons sur notre propres serveurs, nous offrons déjà une protection en filtrant les visites contre les robots spammeurs les plus connus et en utilisant les services du projet Honey Pot et de BotScout. Et cela donne de bons résultats : même sur les sites à fort trafic, le nombre de faux remplissages ne dépasse pas quelques unités par an. Néanmoins, il y a toujours des exceptions et certains scripts arrivent encore à passer entre les mailles du filet.

Dans ce cas, la première réaction des clients est de nous demander d'installer un "CAPTCHA" sur leur formulaire.

Suivant la définition de Wikipédia, le terme CAPTCHA est une marque commerciale de l'université Carnegie-Mellon désignant une famille de tests de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur. Il s'agit le plus souvent d'images présentant un texte déformé que le visiteur doit reproduire dans un champ prévu à cet effet.

La riposte des robots

Mais les robots sont devenus intelligents et la plupart d'entre eux sont maintenant capables de "lire" ces images aussi bien (ou aussi mal !) que les humains. Les plus performants d'entre eux sont même capables de résoudre les problèmes mathématiques ou autres jeux proposés par les Captchas les plus modernes.

C'est pourquoi nous avons toujours essayé de décourager nos clients d'en installer dans leurs sites, avec l'argument qu'en général ces dispositifs sont une nuisance plus grande pour leurs visiteurs (et peut-être futurs clients) que ne le sont les quelques spams qu'ils reçoivent.

Heureusement, il est maintenant possible de se protéger efficacement sans sacrifier le confort du visiteur, en exploitant la façon dont les robots tentent eux-mêmes de surmonter les obstacles que leur tendent les webmasters.

Comme vous le savez peut-être, Google a annoncé une mise à jour importante de son algorithme de classement pour les recherches sur terminaux mobiles.

Starting April 21, we will be expanding our use of mobile-friendliness as a ranking signal. This change will affect mobile searches in all languages worldwide and will have a significant impact in our search results. Consequently, users will find it easier to get relevant, high quality search results that are optimized for their devices.

Google Webmaster Central Blog - 26 février 2015

Concrètement cela veut dire que si votre site n'est pas classé comme "mobile-friendly", vous serez rétrogradés dans les résultats de recherche sur mobiles. Votre trafic depuis un ordinateur de bureau ou portable ne devrait pas être affecté mais vous pourriez perdre celui provenant des smartphones et des tablettes.

Qu'est-ce que cela représente pour vous ? Il y a quelques mois, nous avons écrit un article au sujet de la proportion de visites de terminaux mobiles sur votre site. Si vous n'avez pas installé Google Analytics, c'est certainement le moment de le faire afin de vous faire une idée précise du trafic sur votre site. C'est simple et c'est gratuit. Si toutefois vous souhaitez confier cette configuration à un spécialiste, n'hésitez pas à nous contacter.

Testez votre site

Google a mis en ligne un outil de test gratuit pour la compatibilité avec les appareils mobiles. Après analyse, le verdict tombe : la page testée est adaptée - ou non - aux mobiles. Néanmoins, ce résultat est parfois incorrect parce que certains ressources sont bloquées par le fichier robots.txt.

De quoi s'agit-il ?

robots.txt est un petit fichier présent à la racine de tout site, inclus avec les distributions Joomla! depuis les origines. Il sert à indiquer aux différents robots - les "user agents" - quels sont les dossiers du site qui contiennent les éléments auxquels ils sont autorisés à accéder. Notez qu'en pratique, on indique plutôt les dossiers dont on leur refuse l'accès ("Disallow").

Encore récemment, l'accès accordé aux robots étaient très limité, comme en témoigne le fichier robots.txt de Joomla! 2.5 :

User-agent: *
Disallow: /administrator/
Disallow: /cache/
Disallow: /cli/
Disallow: /components/
Disallow: /images/
Disallow: /includes/
Disallow: /installation/
Disallow: /language/
Disallow: /libraries/
Disallow: /logs/
Disallow: /media/
Disallow: /modules/
Disallow: /plugins/
Disallow: /templates/
Disallow: /tmp/

Cependant, depuis des années, Google indexe de façon séparée les images. Il était donc conseillé de supprimer la ligneDisallow: /images/pour donner accès aux images du site. En 2014, Google a ajouté la vérification de la compatibilité avec les appareils mobiles à ses critères d'évaluation du classement des sites dans les résultats de recherche. Pour évaluer au mieux cette donnée, Googlebot (le robot d'indexation de Google) doit maintenant avoir accès à des "ressources" (en clair, des fichiers) qui lui étaient auparavant inaccessibles. S'il n'a pas accès, la "miniature" de votre site risque de ressembler à l'image ci-contre.

Quelles sont les ressources bloquées ?

Il s'agit, en plus des images, des fichiers CSS (feuilles de styles, qui concernent la mise en page) et JS (Javascript).

Ces fichiers se trouvent principalement dans les dossiers /templates/ et /media/. C'est pourquoi le fichier robots.txt de la dernière version de Joomla! (3.4.1) a maintenant supprimé les lignes correspondantes :

User-agent: *
Disallow: /administrator/
Disallow: /bin/
Disallow: /cache/
Disallow: /cli/
Disallow: /components/
Disallow: /includes/
Disallow: /installation/
Disallow: /language/
Disallow: /layouts/
Disallow: /libraries/
Disallow: /logs/
Disallow: /modules/
Disallow: /plugins/
Disallow: /tmp/

Pourtant cela ne suffit pas ! Si vous faites le test de comptabilité, même avec votre fichier robots.txt modifié, vous pourrez encore avoir des erreurs. Pourquoi ?

Tous les sites n'ont pas besoin d'enregistrer des utilisateurs mais pour ceux pour lesquels c'est indispensable, cette procédure doit être à la fois fiable et conviviale.

En ce qui concerne la fiabilité et la sécurité, Joomla! a toujours été à la hauteur de la tâche, et ce dès les premières versions de ce CMS : vous pouvez choisir la procédure "double opt-in" dans laquelle l'utilisateur doit confirmer son inscription via un lien envoyé par email à l'adresse complétée dans le formulaire d'enregistrement. A l'exception des sites de e-commerces - pour lesquels vous voulez le moins d'obstacles sur le chemin vers la finalisation des achats - il est recommandé de procéder de la sorte pour éviter les enregistrements abusifs.

Par contre au niveau ergonomie, la procédure d'enregistrement de Joomla! a toujours manqué de souplesse d'utilisation dès que le propriétaire du site souhaite recueillir autre chose qu'un nom d'utilisateur ou un email.

Pendant plusieurs années, un des reproches principaux à l'encontre du CMS Joomla! était une gestion des droits d'accès - ACL en anglais - trop rudimentaire pour répondre aux besoins d'un site professionnel. Il fallait recourir à des extensions tierces pour compenser cette lacune.

Heureusement, depuis la version 1.6, un sytème ACL très complet est inclus nativement dans Joomla!. Mais avec la puissance vient la complexité. La configuration des droits d'accès n'est pas une opération à entreprendre à la légère. Une solide réflexion sur l'organisation du site et une bonne planification des tâches sont indispensables avant de démarrer.

Nous n'avons pas la prétention de couvrir tous les aspects de cette question mais nous présentons ci-après un exemple concret. C'est une situation que vous serez amenés à rencontrer si vous réalisez des sites Joomla! pour d'autres personnes ou si vous devez gérer un groupe de collaborateurs devant mettre à jour le contenu du site.

Avec un site dynamique, il est plus facile de changer de mise en page, simplement en changeant de modèle, tandis qu’avec un site statique, il faut modifier toutes les pages. De même, l’ajout ou le retrait de nouvelles pages ou de sections entières du site est beaucoup plus aisé avec un CMS car la base de données peut contenir un nombre presque illimité d’éléments.

Le principal avantage d’un site dynamique est que son propriétaire peut donc facilement et très rapidement mettre à jour le contenu, sans avoir de connaissances informatiques autres que l'utilisation d'un traitement de texte et d'un navigateur Internet. Un site statique par contre nécessite l’utilisation de logiciels parfois coûteux, est fastidieux à mettre à jour et requiert la connaissance des langages utilisés par les pages Internet si on veut ajouter du contenu.

Il existe aussi une grande quantité d’ « extensions » qui sont d’autres logiciels ajoutant rapidement de nouvelles fonctions au site CMS existant. Parmi les extensions courantes, on trouve les galeries d’images, les gestionnaires de newsletter, les forums, les calendriers, …

Par conséquent, même pour un « petit » site, le CMS est la bonne solution car de nouvelles fonctions pourront être facilement ajoutées au fil du temps suivant les besoins… ou le budget.

Pour expliquer les choses simplement, nous dirons qu’un Content Management System, un système de gestion de contenu en français, est un logiciel ou un ensemble de logiciels qui gère le contenu d’un site Internet.

Tous les textes, les images, les formulaires, les vidéos, … sont stockés dans une base de données. Lorsqu’un visiteur accède à une page du site, le CMS assemble les différents éléments demandés et les affiche dans une mise en page contrôlée par des modèles (des templates en anglais). Comme les pages sont créées « à la demande » par le visiteur, on parle de site « dynamique », par opposition aux sites « statiques » dans lesquels les éléments font partie de pages dont le contenu n'est pas modifié d'un affichage à l'autre.

Avec un CMS, on peut donc avoir un contenu qui varie en fonction du visiteur. Par exemple, une même page peut montrer des contenus, une mise en page ou des fonctions différents suivant que le visiteur est un simple invité ou un membre déjà enregistré sur le site.

Tout site ayant pour vocation de vendre quelque chose, un service, une information ou un produit, doit favoriser la communication avec ses visiteurs.

Bien sûr il y a le contact téléphonique et pour certains secteurs d'activité, il peut être plus profitable d'inciter les utilisateurs à décrocher leur téléphone ou cliquer sur la fonction appel de leur smartphone pour entrer directement en contact. Néanmoins, votre site est ouvert 24 h sur 24, 7 jours sur 7 et vous pouvez préférer ne pas devoir répondre à une question sur votre nouveau produit au milieu de la nuit ou pendant votre week-end à la côte.