6 secrets de Joomla enfin révélés !

Ces secrets de Joomla sont extraits de la conférence tenu par Brian Teeman au Pays Bas dont vous pourrez trouver la vidéo à cette adresse :
Brian.Teeman.net

Secret n°1 – Désactiver des composants pour alléger l’interface d’administration, réduire la liste des composants.

Nous sommes nombreux à ne pas nous servir de certains composants par défauts livrés avec Joomla. Pour ma part je n’utilise jamais le système de liens web (composant web links), ni le système de sondage.
Dans ce cas à quoi bon les laisser faire grossir le menu composant de notre interface d’administration ?
Pour les désactiver, il suffit de vous rendre dans votre interface d’administration puis dans le menu

Extensions > Installer/Désinstaller > Composants

desactiver-composants-joomla

A partir de là vous avez accès à la liste de tous les composants de votre site Joomla. Vous pouvez désactiver ceux qui ne vous servent pas en cliquant sur le symbole vert à droite du nom de chaque composant dans la colonne « activé ». (une fois cliqué ce symbole vert doit logiquement ce transformer en un rond rouge contenant une croix blanche ^^)

Sachez aussi que si vous n’avez pas désactivez ces composants dont vous ne vous servez pas, un visiteur pourra quand même y accéder MEME si ils ne sont pas affichés dans la partie « frontend » de votre site.

Vous pouvez par exemple essayer sur votre site d’accéder au composant weblinks depuis le frontend en rajoutant : /index.php?option=com_weblinks aprés votre nom de domaine.

Secret n°2 – Afficher la position des modules sur son template.

Pour connaître la position des modules sur votre site , ou sur un autre site créé avec Joomla vous pouvez ajouter ceci après le nom de domaine du site :
/index.php?tp=1

exemple : http://www.joomla.org//index.php?tp=1

afficher la position des module sur Joomla

Si maintenant vous souhaitez garder cette informations secrète, et empêcher vos visiteurs d’utiliser cette astuce vous pouvez ajouter ces quelques lignes dans votre fichier .htaccess

## pour bloquer ?tp=1 ##
RewriteCond %{QUERY_STRING} tp=(.*)
RewriteRule ^(.*) $index.php [F,L]
## fin ##

Secret n°3 – Google n’aimerait pas Joomla ?

C’est ce qu’on pourrait penser à en croire les résultats d’une recherche pour le mot clé « Joomla » sur Google Images.
Quasiment aucun site créé avec Joomla !

C’est en fait à cause du fichier robots.txt par défaut de Joomla.

Voici ce qu’il contient :

User-agent: *google n'aime pas Joomla ?
Disallow: /administrator/
Disallow: /cache/
Disallow: /components/
Disallow: /images/
Disallow: /includes/
Disallow: /installation/
Disallow: /language/
Disallow: /libraries/
Disallow: /media/
Disallow: /modules/
Disallow: /plugins/
Disallow: /templates/
Disallow: /tmp/
Disallow: /xmlrpc/

Et oui, les robots n’ont en effet pas accès au dossier images de votre site. Je vous conseil donc d’effacer cette ligne en rouge de votre fichier robotx.txt
Personnellement j’ai aussi effacé le « Disallow: /media/ ».

Secret n°4 – Le TAG « Generator »

Par défaut Joomla inclut dans la source des pages qu’il génère un META TAG « generator »

joomla-generator-tag

ex sur joomla.org:

Ceci peut aider les hackers ciblant les sites joomla n’étant pas à jour à trouver votre site.

Secret n°5 – Mieux sécuriser Joomla

Pour éviter de faciliter le « travail » de potentiels hackers il est conseillé de ne pas utiliser jos_ comme attribut de table. C’est l’attribut utilisé par défaut lors de l’installation de Joomla, mais vous pouvez le remplacer par ce que vous voulez. Choisissez quelque chose d’assez cours.
Il est aussi conseiller de renommer le nom du super administrateur. Le nom par défaut sur tous les sites Joomla est ‘admin’, en donnant un autre nom au super administrateur cela complique encore un peu plus la tache de celui qui tenterait de s’introduire dans votre interface d’administration.

Secret n°6 – Cachez vos numéros de versions !!

Il est facile de deviner quelle version de Joomla est installée sur un site web. On peut même obtenir la version de certains composants !cacher les numeros de version sur joomla
En effet le numéro de version est présent dans les fichier XML de chaque composant.

vous pouvez essayer sur votre site: http://www.xxxxx.com/administrator/components/com_xxxx/xxxxx.xml (remplacez les xxx par les valeurs adéquates)

Pour cacher les numéros de version de Joomla il faut donc interdire l’accès aux fichiers .XML en ajoutant dans votre fichier .htaccess les lignes suivantes :

<Files ~ ".xml$">
order allow,deny
deny from all
satisfy all
</Files>