Joomla est un Gestionnaire De Contenu (CMS, Content Management System en anglais) populaire, car particulièrement simple à installer. Cette simplicité ne doit cependant pas occulter les risques et contraintes liées à l’utilisation d’un site dynamique : il faut procéder à une maintenance régulière, pour tenir compte des évolutions techniques de son hébergement, et bien sûr palier les failles de sécurité au fil de leur découverte.

Ce n’est pas la première alerte, nous avions d’ailleurs publié un bulletin d’alerte sur le CMS Joomla en 2006. Mais cette faille est suffisamment particulière pour que l’on s’y arrête : alors qu’il suffit habituellement de mettre à jour la version de son logiciel, cette vulnérabilité persistera, car liée au fichier global de configuration (config.php), qui n’est pas mis à jour, car il contient des données sensibles (notamment les identifiants de connexion à la base de données).

Pour plus de détails sur cette faille qui affecte plus particulièrement les versions 1.0.13 et 1.0.14 de Joomla , je vous renvoie au bulletin d’alerte Security Focus. Pour les administrateurs pressés, voici comment se protéger contre cette faille :

Dans les fichier index.php, index2.php et administrator/index.php, administrator/index2.php remplacer :

require_once(
‘configuration.php’ );
par
require(‘configuration.php’);

Si vous n’êtes pas sûr de savoir mettre ce correctif en place, n’hésitez pas à faire appel à NeoDiffusion. Notre Ticket Conseil® par email (37€HT) est particulièrement adapté à cette situation.

Bien entendu, il est vivement recommandé de toujours disposer de la dernière version publiée, qui est la version 1.0.15 pour cette génération de Joomla, ou 1.5.1 pour la seconde génération de joomla. Cet épisode renforce le message que nous adressons régulièrement dans le cadre de nos formations ou prestations de conseil en stratégie Internet : il faut choisir la solution adapté à vos « besoins », et non privilégier une « solution universelle »; ce qui est vrai dans beaucoup de domaine l’est aussi pour les sites Internet : plus il y a de la « technologie embarquée », plus votre site (ou blog) est sujet à la panne ou à la merci de pirates Informatiques. Les conséquences peuvent être dramatiques: perte de fichier client, de site WEB, détournement du site pour héberger des activités illégales. Si vous avez des doutes sur vos choix, un diagnostic personnalisé vous permettra de faire le point. NeoDiffusion est à votre disposition, n’hésitez pas à nous contacter ou consulter nos forfaits conseil.

A propos de NeoDiffusion conseil :

NeoDiffusion est une société d‘expertise indépendante en NTIC* située à Lyon, qui vous propose de gagner du temps et de réduire vos charges par le conseil et  l’accompagnement personnalisé. Grâce à un diagnostic global de votre situation, de vos capacités et de vos objectifs, NeoDiffusion peut identifier et faire intervenir les spécialistes des NTIC les « mieux adaptés », en négociant pour vous les « meilleurs prix ». Dans le cadre de son activité de conseil en présence WEB, NeoDiffusion mène une veille technologique permanente. Le sujet de la sécurité des solutions de CMS en fait bien évidement partie.