[Joomla] update joomla 2.5 et sécurité

mardi 12 août 2014

Je vais vous présenter ma démarche pour mettre à jour votre CMS joomla.

Etape 1: Backup db et fichiers

"/usr/bin/mysqldump" --opt -h localhost -u <username> -p<password> <dbname> > /path/BCKP_2014_08_11.sql
zip -9 -r <zip file> <folder name> 

On rapatrie via FTP

Etape 2:

Dans l’administration de Joomla: Site>Informations système> Permissions des dossiers
On liste les fichiers qui doivent avoir les droits d’écriture.

Etape 3:

On donne tous les droits à JOOMLA

chmod 0777 -R root_site

Etape 4:

Dans .htaccess du root, ajouter les lignes suivantes:

php_flag "allow_url_fopen" "On"
php_flag "allow_url_include" "On"

Etape 5:

Dans l’administration du CMS joomla mettre à jour le joomla et les composants depuis le dashboard.

Etape 6

On teste le site web

Etape 7:

On remet les bon droits sur les fichiers:

find /home/xxxxxx/domains/xxxxxxx.com/public_html -type f -exec chmod 644 {} \;

idem pour les dossiers:

find /home/xxxxxx/domains/xxxxxxx.com/public_html -type d -exec chmod 755 {} \;

Etape 8:

Donner les droits d’écritures à Apache sur dossiers listés au point 2

Joomla par défaut:

  • cache
  • administrator/cache
  • images
  • tmp
chmod -R o+w images cache tmp

Pour empêcher l’exécution de script dans ces dossiers, on ajoute un .htaccess avec les directives suivantes:

Options -ExecCGI
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi

<FilesMatch "\.(php|phps|html|htm|jsp|asp|pl|py|sh|cgi)$">
        Order allow,deny
        Deny from all
</FilesMatch>
Astuce: si jamais votre site a été attaqué une commande qui peut être utile pour savoir les fichiers récemment modifiés:
find /home/xxxxxx/domains/xxxxxxx.com/public_html -type f -ctime -1 -exec ls -ls {} \;
Be Sociable, Share!

Tags: htaccess , Joomla , sécurité