Nous vous proposons aujourd'hui une petite astuce pour améliorer l'utilisation et la sécurité de jSecure sur vos sites Joomla via un jeu de deux fichiers HTML créé par Turbo123 que nous avons simplement adapté en française.
Avantages de cette astuce :
- Adapté aux débutants
- Ne modifie pas les fichiers du noyau de Joomla
- Personnalisation assez simple
- Complique un peu plus les tentatives de hack
Une petite présentation rapide pour ceux qui ne connaissent pas encore cette extension bien utile :Le principe de fonctionnement du plugin jSecure Authentication vous permet de rendre un peu plus compliqué les tentatives de piratage sur vos sites en ajoutant un code à votre adresse url d'administration qui se présente sous la forme : http://votresite.truc/administrator/?jsecure
Pour l'application de ce tutoriel, vous devez dans un premier temps télécharger le plugin et l'archive T3 Secured adaptée en version française.
Télécharger jSecure Authentification version 1.0.9
Télécharger T3_Secured_Login_Addon_fo_jSecure_v2FR.zip
Première étape :
Installer jSecure via le gestionnaire d'extension de votre administration.
Rendez-vous dans la Gestion des plug-ins et éditer la ligne correspondante pour accéder aux paramètres de jSecure.
- Le champ Key : c'est ici que vous devez saisir la clé qui sera utilisée.
Cette clé devra être une suite de lettre en minuscule d'au moins 10 caractères, entre 20 et 30 c'est nettement mieux. Vous pouvez utiliser notre générateur de mot de passe pour vous aider avec la configuration ci-dessous.
- Redirect Options : Sélectionner l'option Custom Path
- Le champ Custom Path : Vous devez saisir la redirection vers la page qui nous intéresse pour cette astuce : administrator/auth.html
Avant de valider l 'activation du plugin, pensez à bien noter votre clé dont vous aurez besoin pour la suite.
Un point très important pour votre sécurité, via votre client de FTP nous vous conseillons de supprimer le fichier readme.jsecure.html qui se trouve dans le répertoire /plugins/system
Seconde étape :
Décompresser l'archive T3_Secured_Login_Addon_fo_jSecure_v2FR.zip sur votre ordinateur.
Vous y trouverez un répertoire auth contenant des images et 2 fichiers html et un fichier Txt readme, le fichier que nous intéresse est celui nommé motdepasseenminuscule.html.
Avec votre éditeur de texte du type Notepad++ vous allons ouvrir ce dernier pour le configurer, pas d'inquiétude pour ceux qui ne maitrise pas le php, il n'y a que deux lignes à éditer.
Ligne 10:
document.write('<METAhttp-equiv="refresh"content=\"1;URL=http://www.VOTRESITE.TRUC/administrator/?cléjsecure">') ;
- Remplacer VOTRESITE.TRUC par votre nom de domaine
- Remplacer cléjsecure par la clé que vous avez mis de coté ( attention ne surtout pas supprimer le point d'interrogation )
Ligne 23:
var clients = new Array("login_de_connexion") ;
- Remplacer login_de_connexion par le login que vous souhaitez utiliser, petit conseil plus il sera compliqué mieux ce sera.
Les modifications sont réalisées, il ne vous reste plus qu'à sauvegarder votre fichier.
Dernière étape :
A l'aide de votre client de FTP, vous devez transférer les deux fichiers HTML et le répertoire auth dans le répertoire administrator.Une fois le transfert effectué vous devez renommer le fichier motdepasseenminuscule.html avec le mot de passe que vous souhaitez utiliser pour la connexion ; vous pouvez là choisir une combinaison de chiffre et lettres ( exemple : access2010site.html ).
Pour finir le tout nous conseillons d'interdire l'écriture sur les deux fichiers HTML avec un chmod minimum 444.
Voilà vous venez de mettre un barrage supplémentaire pour compliquer la tâche de pirates, car que ce soit le plugin ou le jeux de fichiers ne sont pas la solution ultime pour bloquer l'accès à votre administration, mais cela contribue à améliorer notablement le niveau de sécurité.
Pour aller un peu plus loin dans la personnalisation :
On peut sans problème modifier le nom du fichier HTML auth avec celui que l'on souhaite, avant de le renommer pensez à modifier le chemin du champ Custom Path.
En cas d'erreur de saisie du login, un message vous informe de l'erreur et vous redirige vers la page de l'auteur de T3 Secured, il vous est possible de modifier cette redirection dans la ligne 32 du fichier de base motdepasseenminuscule.html
if(!user)alert("Nom d'utilisateur incorrect!\nVeuillez recommencer"),count++,location="http://www.t3gallery.com" ;
Il est aussi possible d'encoder les fichiers HTML pour les rendre illisible, dans ce cas conserver une copie des dits fichiers.
Voilà la fin de ce tutoriel, si tout c'est bien déroulé ce nous ne doutons pas , lorsque vous saisirez l'adresse http://www.votresite.truc/administrator vous serez redirigé vers la page http://www.votresite.truc/administrator/auth.html
En guise de conclusion, nous espérons que cette astuce vous sera utile, et n'hésitez pas à nous faire part de vos avis où idées de modification sur ce sujet du Forum.
