L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés
Question Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)
Concernant les messages, il me semble qu'on ne peut les éditer qu'une fois (si les admins peuvent confirmer).
Pas de support en MP sans y être invité.Merci
www.aide-joomla.com
www.soulpin.com
Connectez-vous ou Créer un compte pour participer à la conversation.
cavo789 écrit: Tu es bien plus expert que moi et je n'ai pas la prétention de dire que mon recueil de conseils est une bible; donc oui, mon but, c'est de donner des pistes.
Bonsoir Christophe,
expert c'est un bien grand mot, je dirai plutôt de bonnes connaissances et quelques années de pratique.
Comme toi, je ne pense pas qu'il faille multiplier les protections en tout genre; je commence d'ailleurs à me demander si CrawlProtect est vraiment utile dès lors que tu as un bon .htaccess (c'est là une des fonctions principales de CP) et que tu utilises jHackGuard et AdminTools. Je pense, dans ce scénario, que CP est superflus. C'est mon avis perso.
Pour cette partie je conseille l'un des deux duo selon les cas
1 -Crawlprotect et une bonne solution couplé avec Crawltrack, on peut ansuite y ajouté un plugin d'accès à l'administration comme JLSecure My Site et les captchas adéquat selon ses extensions. On a une bonne base sécurisé
2 -Admintools pro (payant 20 € l'année cela se justifie grandement) génére un htaccess très complet pour les novices, rien n'empêche ensuite d'y ajouter d'autres régles. Il y a aussi une option de protéger l'accès à l'administration, et divers autre réglages très intéressant si l'on prend bien le temps de s'y attarder.
Ensuite dans les deux cas on peut y adjoindre un système de monitoring selon ses moyens financier.
Pour le meta name, dans l'absolu, il n'apporte rien à laisser ou à retirer car rares seront les pirates qui vont prendre le temps "d'analyser" la page. Ces personnes-là utilisent des scripts qui fonctionnent à l'aveugle : passe ou passe pas. Comme tout ces scripts qui tentent d'utiliser une faille d'un composant com_truc alors que le composant n'est pas sur le site : les attaques se font à l'aveugle.
Toutefois, moins le pirate en sait, mieux cela vaut : si on se base sur le paragraphe ci-dessus, il est inutile de bloquer les fichiers .xml du dossier /administrator. Puisque le pirate attaque dans le noir, il ne servirait à rien de bloquer les xml et pourtant certains scripts dont p.ex. un addon firefox utilise ces fichiers pour déterminer la version Joomla du site.
En bloquant mes fichiers .xml, je bloque donc cet addon et d'autres, très probablement aussi. Est-ce une mesure de sécurité ? Cela se discute. Est-ce un gadget ? Perso, je ne pense pas : en tant qu'utilisateur "humain", je sais comment faire pour voir rapidement sur un site Joomla s'il utilise tel composant, telle version de Joomla, ... Au moins, je bloque ces personnes-là.
Tout autant pour le meta-name que je n'utilise pas, le blocage de l'accès au xml est à conseiller de mon point vu.
Je sais que certains disent que l'obfuscation ne sert pas à grand chose; ce n'est pas mon avis. Oui, cela ne changera rien pour les "vrais pirates", les scripts de type brute-force, ... mais cela bloquera les petits comiques qui ont une soirée à perdre et qui jouent aux méchants
Pour le cas des hackeurs en herbe, c'est effectivement un parade qui peut rassurer j'en conviens
En tous cas ta nouvelle mouture s'étoffe, c'est du bon travail et ne t'en déplaise c'est déjà une petite bible pour les débutants et + je pense.
J'apprécie le soins avec lequel tu traites les fonctions du htaccess, là c'est très utile quand on commence avec ce fichier qui rebute les débutants et pourtant qui est le premier rempart en matière de sécurité.
Tu pourrais ensuite proposer une partie sur le php.ini qui participe aussi à la sécurité, un petit exemple.
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_openConnectez-vous ou Créer un compte pour participer à la conversation.
Excellente idée que celle d'aborder dans un prochain futur des blocages au niveau de php.ini. Excellente idée !
Merci.
Merci itou pour ton appréciation. Cela me fait plaisir car, oui, tu es bien plus expert que moi. Si tu n'as pas vu de grosses coquilles dans mon document et si le juge utile pour les débutants, c'est super vu que c'est le public que je cible. Débutants dans le sens noble du terme : toutes personnes qui, pour la première fois, souhaite approfondir cette matière et cherche des pistes pour sécuriser son site.
Plus tard, ces personnes feront des choix d'hébergeurs ou d'outils qui renforceront encore plus la sécurité de leur travail mais ... Rome ne s'est pas construit en un jour
Bonne soirée.
Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html
Connectez-vous ou Créer un compte pour participer à la conversation.
Connectez-vous ou Créer un compte pour participer à la conversation.
Il m'a permis de comprendre certaines choses qui étaient du charabia pour moi. Il y a déjà de quoi s'occuper quelques semaines si on suit tous les conseils.
Pour info, tu as du écrire "accès" à la place de "accède" dans cette phrase (page 45) :
A priori, il n’y a aucune raison qu’un utilisateur accès à un fichier du cache de Joomla (/cache) ni
à un fichier se trouvant dans le dossier
Pas de support en MP sans y être invité.Merci
Merci de vous conformer aux règles du forum.
Connectez-vous ou Créer un compte pour participer à la conversation.
Droit d'accès du forum
- Vous ne pouvez pas: Créer un nouveau sujet.
- Vous ne pouvez pas: Répondre au sujet.
- Vous ne pouvez pas: Éditer votre message.