CrawlProtect et Joomla!

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • CrawlProtect et Joomla!

    Salut,

    Juste une question de sécurité pour Joomla! avec CrawlProtect.

    J'ai installé CrawlProtect à la racine du site www, installation sans soucis, mais j'ai également un 2eme site en sous-domaine dans ce dossier www.

    Dois-je installer également CrawlProtect dans le dossier du sous domaine (2eme site) ou le fait de l'avoir mis à la racine va protéger tout les répertoires, y compris le dossier du sous-domaine ?

    Merci.

  • #2
    Re : CrawlProtect et Joomla!

    Oui CrawlProtect, contrairement à CrawlTrack qui lui permet de traquer plusieurs sites, doit être installé sur chaque site.
    Pas de demande de support par MP.
    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

    Commentaire


    • #3
      Re : CrawlProtect et Joomla!

      Tu peux mettre en place la combinaison de ton choix :
      • 1 seul crawlprotect : www/crawlprotect pour tous les sites (princ.& sous-dom) ou 1 seul par site : www/site1/crawlprotect
      • 1 seul crawltrack : www/dossier-bidon/crawltrack pour tous les sites (princ.& sous-dom) ou 1 seul par site : www/site1/crawltrack

      Tous mes sites sont en v1.5 chez OVH et j'utilise en général :
      • 1 seul crawlprotect par hébergement.
      • 1 seul crawltrack pour n sites afin de regrouper les stats par client ou par fonction.

      Pour les multi-domaines, il faut évidemment installer les 2 sur chaque domaine.

      Combinaisons possibles

      Tu peux faire du lego avec les briques P (crawlprotect) & T (crawltrack)
      • /domaine01/ P+T chaque multi domaine a son crawltrack/protect
      • /domaine02/ P+T idem
      • www/Pw -> crawlprotect protège toute la racine www
      • www/bidon/Tw -> crawltrack dispo pour toute la racine www
      • www/site1 Pw+Tw -> utilise PT de la racine www
      • www/site2 P2+T2 -> P & T installés dans la racine www/site2
      • www/site3 Pw+T3 -> seulement Track installé dans la racine www/site3
      • www/site4 P4+Tw -> seulement Protect installé dans la racine www/site4

      Cerise sur le gâteau : toutes ces combinaisons sont cumulables sur le même hébergement.
      Je n'utilise pas les combinaison P2+T2 & P4+Tw, mais je pense qu'elle doivent fonctionner.
      Il n'est pas obligatoire d'utiliser les 2 : Crawlprotect seul devrait suffire selon certains avis sur le forum Crawl
      Mébon, je suis comme St Thomas et j'utilise les deux.

      Crawltrack
      • Je le place toujours dans un sous-dossier www/bidon/crawltrack.
      • Activer le robot de test pendant quelques jours pour vérifier l'installation
      • Ne jamais mettre les stats en "public" pour ne pas les trouver un jour prochain sur google !
      • Faire une copie de crawltrack.php et configconnect.php avant les maj pour ne pas avoir à tout reparamétrer ( cf doc d'installation )

      Crawlprotect
      • Il est déconseillé de renommer le dossier crawlprotect, mais c'est faisable.
      • Bien filtrer la liste des fichiers à contrôler sinon le contrôle prendra des plombes !
      • Je l'installe dans la racine du site si le client final veut gérer lui-même ses IP bannies.

      Autres sécurités que j'applique systématiquement
      • htaccess : la protection préconisée dans ce forum ( merci Sirius )
      • htpasswrd : sur le dossier joomla/administrator
      • CHMOD de la racine joomla : 404/604 pour les fichiers, 505/705 pour les dossiers
      • Plugins : jsentinelle (gratuit) et jsecure ( payant )
      • Akeeba : pour le backup >>> rappel des 3 règles de sécurité : Backup, Backup et Backup
      • Lire les forums, les listes d'alertes etc...

      A ceux qui diront que ça fait beaucoup, je leur répondrai que non ...le jour où je me ferai pirater :O/
      La sécurité, c'est un peu comme la poudre de perlin-pinpin contre les girafes : tant qu'on en voit pas dans le Sundgau, c'est qu'elle est efficace !

      à propos d'efficacité ( pour info parce que ça veut pas dire grand chose )
      Crawlprotect me dégage en moyenne 5 tentatives d'injections SQL par semaine sur ma douzaine de sites.
      Le plugin jsentinelle bloque 3 à 5 à tentatives par semaine, mais sur 4 sites seulement.
      J'ai beaucoup moins de soucis depuis que j'ai viré le Livre d'Or de Phoca sur 2 sites en le remplaçant par jcomment : un Livre d'Or = 1 catégorie et 1 article avec commentaires.
      Donc, ça marche pour l'instant

      ...mais je touche du bois.

      Commentaire


      • #4
        Re : CrawlProtect et Joomla!

        Faire une copie de crawltrack.php et configconnect.php avant les maj pour ne pas avoir à tout reparamétrer
        Crawltrack ne contient pas ces fichiers dans le pack d'installation, la sauvegarde n'est donc pas obligatoire puisqu'ils ne peuvent pas être écrasés.
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

        Commentaire


        • #5
          Re : CrawlProtect et Joomla!

          Envoyé par RobertG Voir le message
          Crawltrack ne contient pas ces fichiers dans le pack d'installation, la sauvegarde n'est donc pas obligatoire puisqu'ils ne peuvent pas être écrasés.
          Le concepteur du produit préconise néanmoins cette sauvegarde : http://www.crawltrack.net/fr/question.php

          Commentaire


          • #6
            Re : CrawlProtect et Joomla!

            Envoyé par Steve Voir le message
            [*]htpasswrd : sur le dossier joomla/administrator[*]CHMOD de la racine joomla : 404/604 pour les fichiers, 505/705 pour les dossiers
            Bonjour,
            Je suis nouveau sur Joomla et je viens de déployer mon premier site avec cette solution en version 2.5.

            J'avoue ne pas avoir trouvé une liste claire des droits à placer sur les fichiers (404/604) et sur les répertoires (505/705).
            Quelles sont les bonnes pratiques ?

            Voici les droits que j'ai appliqué sur le site un peu au feeling. Est-ce cela vous semble correct pour un site en production ?

            dr-xr-x--x : administrator
            drwxr-x--x : cache
            dr-xr-x--x : cli
            dr-xr-x--x : components
            -r--r----- : configuration.php
            dr-xr-x--x : docs
            -r--r----- : .htaccess
            dr-xr-x--x : images
            dr-xr-x--x : includes
            -r--r----- : index.php
            dr-xr-x--x : language
            dr-xr-x--x : libraries
            -r--r--r-- : LICENSE.txt
            drwxr-x--x : logs
            dr-xr-x--x : media
            dr-xr-x--x : modules
            dr-xr-x--x : plugins
            -r--r--r-- : README.txt
            -r--r--r-- : robots.txt
            dr-xr-x--x : templates
            drwxr-x--x : tmp
            -r--r--r-- : web.config.txt


            Envoyé par Steve Voir le message
            ...mais je touche du bois.
            Moi aussi

            Bonne journée,
            McCoy

            Commentaire


            • #7
              Re : CrawlProtect et Joomla!

              Mon post souffrait d'une petite imprécision. Désolé, je complète derechef :

              CHMOD de la racine joomla : 404/604 pour les fichiers, 505/705 pour les dossiers
              Pour effectuer des mises à jour : passer tous les dossiers à 0705
              Pour verrouiller après mises à jour : passer tous les dossiers à 0505 sauf...

              Sauf que 3 dossiers doivent rester en 0705 : /cache, /logs et /tmp
              Selon les extensions que tu utiliseras, il faudra peut-être laisser le dossier /media en 0705

              Pour le fichiers, même combat : de 0604 (ouvert) à 0404 (fermé)
              Tu peux encore bétonner mettant le configuration.php en 0400

              Tu peux encore mettre une couche en cryptant le fichier configuration.php.
              Mais gaffe à ne pas en perdre le source !

              En version 2.5, je n'utilise plus ces 2 plugins :
              Plugins : jsentinelle (gratuit) et jsecure ( payant )
              :O)

              Commentaire


              • #8
                Re : CrawlProtect et Joomla!

                Ok merci.

                Voici deux scripts que j'ai déposé dans mon /root et qui peuvent aider les prochains qui se poseront les mêmes questions:

                open.sh
                JOOMSITE='placez ici le chemin de votre site'
                echo "Ouverture des droits pour mise a jour du site $JOOMSITE"
                find $JOOMSITE -type d -exec chmod 0705 "{}" \;
                find $JOOMSITE -type f -exec chmod 0604 "{}" \;


                close.sh
                JOOMSITE='placez ici le chemin de votre site'
                echo "Restriction des droits pour exploitation du site $JOOMSITE"
                find $JOOMSITE -type d -exec chmod 0505 "{}" \;
                chmod -R 0705 $JOOMSITE/cache $JOOMSITE/logs $JOOMSITE/tmp $JOOMSITE/media
                find $JOOMSITE -type f -exec chmod 0404 "{}" \;
                chmod 0400 $JOOMSITE/configuration.php


                Reste à me pencher sur CrawlProtect maintenant.

                Accessoirement: aucun d'entre vous a une méthode simple pour renommer le répertoire administrator ? J'ai l'impression qu'un simple mv comme ça se fait sur d'autres solutions Open Source ne va pas convenir
                Dernière édition par McCoy à 18/04/2012, 16h23

                Commentaire


                • #9
                  Re : CrawlProtect et Joomla!

                  Bonjour

                  Quelle est la liste exacte des fichiers qui ne doivent pas etre en 444 et des dossiers qui ne doivent pas etre en 555 ?

                  pour pouvoir utiliser le site normalement ainsi que les mise à jour depuis l'admin de Joomla

                  merci
                  Dernière édition par Visiteur à 13/03/2013, 07h53

                  Commentaire


                  • #10
                    Re : CrawlProtect et Joomla!

                    Oui ça serait bien de savoir quels fichiers ne doivent pas être en 404 (ou 444) et quels dossiers ne doivent pas être en 505 (ou 555)
                    Mais là on va répondre que cela dépend des plugins, extensions etc... qu'on a sur nos sites.
                    Il doit cependant être possible de connaître les principaux fichiers et dossiers auxquels on peut appliquer ces CHMOD restrictifs.
                    Alber - Sous le clavier la plage

                    Commentaire


                    • #11
                      Re : CrawlProtect et Joomla!

                      Je manque toujours de précisions désolé.
                      Quand on dis passer tous les dossiers, il s'agit bien de tous les dossiers et sous-dossiers des sous-dossiers de manière totalement récursive ?

                      PArvce que du coup c'est pas à faire trop souvent vu la quantité qu'il y en a ?
                      Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X