Comment sécurisé son site ? (débutant: attends réponse claire)

[chabinantes]

Voila je viens de créer un site sur joomla et je cherche à le sécurisé...
Pour le moment j'ai modifié l'identifiant admin comme dans joomla pour les nuls http://php.developpez.com/cours/joom...=pratique#LV-B
et j'ai renommer le fichier htacces.txt en .htacces

Que dois-je faire de plus pour mieux sécuriser mon site ?? j'ai lu des sujets qui parlent du fichier .htpasswd mais je ne sais pas quoi faire pour l'installer sur mon site.

Merci de votre aide =).

[Jacq]

Bonjour,
je te conseille d'aller faire un tour dans le sous-forum "Sécurité" (où, tu aurais pu poster )mais aussi ici

Il y a à mon humble avis 3 choses importantes (+ 1, l'hébergeur...) sur lesquelles tu peux faire quelque chose dans Joomla:
Le htaccess. performant
2 plugins: JSecure +Sentinelle

Alvaro

Bonjour,

Je viens d'obtenir une réponde d'Alvaro sur ma discussion (mal placée !) et dont le post est copié ci-dessus. Je pense que cela est une excellente voie. Comme toi, je débute et souhaite me protéger, ayant été hacqué une fois, mais une fois de trop !

Jacq

[7am]

Un composant d'url rewriting tel que sh404sef apporte beaucoup au niveau sécurité aussi.

[smash91]

bonjour, après avoir lu pas mal de posts sur la sécurité, voici quelques conseils....

Dans un premier temps, toujours installer la dernière version (1.5.9 à l'heure ou j'écris).

Vérifier :
- la présence de ton .htacess sur la racine du site
- Protéger ton répertoire administrator par un .htacess et un .htpassword (tu as pas mal de posts la dessus dans ce forum)

Une fois ton site configuré et installé, tu peux via un client FTP comme Filezilla , vérifier les CHMOD :

pour + de securité :
fichier: "configuration.php" en chmod 400
fichier : "index.php" en chmod 444

le defaut des repertoires est 755
le defaut de tous fichiers 644


Il y a aussi la solution de renommer le dossier administrator, voir posts "sentinelle"....

Bon courage

cordialement

www-tice-education.fr

[chabinantes]

Merci de ta réponse mais je voudrais juste avoir 2-3 certitude.
Pour changer le chmod dans file zilla il suffit de changer la valeur numérique ? (644 sur mon index.php). Il y a d'autre manip à faire ou juste ça en ce qui concerne le chmod ?

Pour ce qui est du .htacces et .htpasswd. Il n'y a pas grand chose à faire non plus ?
Je créer un .htacces contenant
AuthType Basic
AuthName "Accès réservé"
AuthUserFile /chemin/dusite/cheztonhébergeur/administrator/.htpasswd
<Limit GET>
require valid-user
</Limit>

puis je génère un .htpasswd qui ne contient que le code que j'aurai générer sur http://www.htaccesstools.com/htpasswd-generator

Mais est-ce nécessaire si j'ai déja installé Jsecure ?

Est ce bien ça ?

[7am]

Pour le CHMOD : oui

Pour .htacces et .htpasswd : oui

Est-ce nécessaire si j'ai déja installé Jsecure ? Certain diront que 2 protection valent mieux qu'une. Perso, je ne trouve pas ça nécessaire. J'ai une préférence pour .htacces et .htpasswd, mais Jsecure a l'air pas mal.

[chabinantes]

Pour le CHMOD : oui

Pour .htacces et .htpasswd : oui

Est-ce nécessaire si j'ai déja installé Jsecure ? Certain diront que 2 protection valent mieux qu'une. Perso, je ne trouve pas ça nécessaire. J'ai une préférence pour .htacces et .htpasswd, mais Jsecure a l'air pas mal.

Merci mais j'ai une dernière question... C'est normal que l'on ne me demande pas le mot de passe que j'ai crée sur le .htpasswd lorsque je me connecte à mon admin une fois les fichiers .htacces et .htpasswd créés ?

Encore merci

[7am]

Non, ça n'est pas normal.

Perso, je l'ai mis en place en suivant ce tuto : http://www.siteduzero.com/tutoriel-3...-htaccess.html

Tu es sur de ton chemin d'accès dans "AuthUserFile /chemin/dusite/cheztonhébergeur/administrator/.htpasswd" ? Il ne contient pas ton nom de domaine, mais est du même type que $log_path dans ton fichier configuration.php

[chabinantes]

Non, ça n'est pas normal.

Perso, je l'ai mis en place en suivant ce tuto : http://www.siteduzero.com/tutoriel-3...-htaccess.html

Tu es sur de ton chemin d'accès dans "AuthUserFile /chemin/dusite/cheztonhébergeur/administrator/.htpasswd" ? Il ne contient pas ton nom de domaine, mais est du même type que $log_path dans ton fichier configuration.php

ça marche toujours pas mais bon c'est pas grave. J'ai Jsecure pour le moment qui marche bien.

Merci quand même

[7am]

Redémarre ton PC pour être sur que tu n'es pas connecté dans une session mise en place précédemment.