Important Securite Joomla 1.0.11 En General

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Important Securite Joomla 1.0.11 En General

    !!! VOICI MA MISE A JOUR DU TUTORIEL SI DESSOUS 14/09/2006 !!!

    Cette solution est valable chez NUXIT.
    Notez que ça peu marcher peut-être chez d'autres hebergeurs, mais ce n'est pas du tout garantie car beaucoup de ses réglages son "exprès" bloqué!
    A vous de tester vos options disponibles chez votre propre hebergeur.


    Rajoutez en plus des paramêtres de sécurité conseillé dans le fichier .htaccess de Joomla ceci si c'est pas déjà fait:

    SetEnv PHPRC "/votre chemin absolu/www/config/" (comme expliqué dans le tuto sur ce post même du forum)

    Creer un dossier que vous nomerez session
    Creer aussi un dossier que vous nomerez config avec un fichier php.ini et aussi un fichier htlm vide pour le cas ou un petit "malin" voudrai y acceder un peu à la Nindja de façon illégal

    Dans le fichier php.ini écrivez ceci :

    register_globals = Off
    session.save_path = /votre chemin ici/www/session/ MERCI HERVE

    Envoyez le tout via Ftp à la racine de votre site

    N'oubliez pas d'autorisez le "SEF" depuis l'administration de la configuration de Joomla aussi plus tard, car nous n'avons pas encore trouvé la solution, suivez regulierement ce forum, on vous fera part de nos découvertes

    Pour les détailles, voyez le tuto si dessous originel

    §§§ TUTORIEL ORIGINEL §§§

    !!! ATTENTION : Ce tuto ne convient pas à toutes les configurations !!!

    Si vous avez installé Joomla 1.0.11 vous avez observé dans son administration que vous aviez des messages de faille de sécurité.

    J’avais déjà fait un post à ce sujet, mais apparemment tout le monde ne la pas lus !

    Voici donc a nouveau ma propre méthode sous forme de tuto, c’est simple, rapide et très efficace valable pour Joomla et même d'autres CMS.

    Pour mettre register_globals sur Off (C’est la sécurité)
    au lieu de register_globals sur On (C’est un vrai risque de se faire pirater)

    Vous devez placer normalement dans tous les dossiers courant de Joomla un fichier nommé php.ini si vous n'avez pas un serveur dédié dans lequel vous pouvez redéfinir des directives. Dans notre cas se sera :

    register_globals = Off

    C’est efficace mais vraiment contraignant vu le nombre de dossiers que contient Joomla.

    Voici donc ma version tout aussi bien et plus simple à mettre en place.

    Valable pour php4 et php5

    (Juste pour information : on va utiliser la variable PHPRC via le mod_env d’Apache)

    Voici la marche à suivre maintenant :

    0. Ouvrez le bloc note de windows (ou autre)
    1. écrivez ceci : register_globals = Off
    session.save_path = /votre chemin ici/www/session/ MISE A JOUR DU TUTO 14/09/2006
    2. enregistrez votre fichier sous le nom php.ini
    3. fermez le bloc note de windows

    *************************
    4. Créez un répertoire (un simple dossier)
    5. Appelez le config par exemple
    6. Déposez votre php.ini customisé juste avant à l’intérieur par copier- collé

    *************************
    7. Ouvrez le bloc note de windows (ou autre)
    8. écrivez ceci : SetEnv PHPRC "/votre propre chemin absolu/config/"

    9. Petit truc personnel infaillible ! Regardez dans la configuration de Joomla ou depuis l'administration, ou des infod php de votre site. Avec votre logiciel FTP favori, téléchargez depuis votre Joomla « distant » le fichier « configuration.php » ouvrez le et trouvez le chemin écrit à cette ligne $mosConfig_absolute_path = « ici vous avez le chemin absolu ».

    10. Enregistrez maintenant votre fichier sous le nom sos.htaccess (on ne peu pas directement sous windows le nommé ".htaccess" )
    11. fermez le bloc note de windows
    11a. Si vous avez déjà un fichier .htaccess sur votre site distant, ouvrez le et faite la modification SetEnv PHPRC"/home/t/tuto/www/config/" j'ai mis en rouge un exemple de chemin comme expliqué si dessus n'importe ou dans le fichier parmis le code déjà présent le cas échéant puis sauvez-le tout sur votre site distant tout simplement!

    **************************

    12. Avec votre logiciel FTP envoyez le fichier « sos.htaccess » et le dossier « config » (qui contient le fichier « php.ini » que vous avez mis a l’intérieur) a la racine de votre site donc /www/ …
    13. Renommez sur VOTRE SITE MÊME votre fichier « sos.htaccess » en « .htaccess »
    14. Voila c’est terminé lancez l’Admin. de Joomla et vous verrez que : register_globals est sur Off ! (le message d’avertissement disparaît sous Joomla 1.0.11)


    PROCEDURE POUR METTRE : define RG_EMULATION = ON à RG_EMULATION = OFF


    1. Avec votre logiciel FTP favoris, téléchargez le fichier de Joomla « globals.php » de votre site.
    2. Ouvrez le et recherchez cette ligne de code : define( 'RG_EMULATION', 1 );
    3. Modifiez le chiffre 1 en 0 comme ceci : define( 'RG_EMULATION', 0 );
    4. Enregistrez les changements de votre document et fermez le.
    5. Avec votre logiciel FTP renvoyez le sur votre site à la même place en « Ecrasant » l’original.
    6. Voila, votre site est sécurisé, du moins à ce niveau! Allez dans l’Admin. de joomla, vous n’avez plus de problème d’affichage d’avertissements.

    INFORMATION PERSONNEL :
    Si vous avez d’autre problèmes avec la sécurité, vous n’avez plus qu’a ajouter dans le fichier « php.ini » ou dans ".htaccess" vos paramêtres futurs c’est simple pratique et vraiment sympa.

    Voila, je vous remercie de l’attention que vous portez à ma contribution à Joomla, n’hésitez pas a me donner vos impressions sur ce tuto sur la sécurité.

    Important dernière minute ! Attendez-vous à avoir des problèmes de connexion en administrateur avec global register sur OFF. Votre hebergement avec Joomla est protégé, mais Joomla devient instable en administrateur, c'est un problème spécifique à Joomla. Je n'ai pas encore la solution, je cherche.

    Cordialement
    Dernière édition par felichon à 14/09/2006, 11h07 Raison: Attention, ne convient pas à toutes les configurations !

  • #2
    il y a deja le fichier .htaccess a la racine donc on fait comment si on doit renommer sos.htaccess de la meme façon(.htaccess)?
    merci
    http://www.creaweb40.com/ - Creation de sites internet dans les Landes

    Commentaire


    • #3
      Oui et non

      Salut,

      Si tu regarde bien le fichier .htaccess déjà present dans Joomla il porte l'extention, *.txt c'est à dire .htaccess.txt donc il n'est pas "actif" Tu peu librement faire comme expliqué dans mon tuto, il ne l'ecrasera pas.
      D'un point de vue purement technique, tu peu le télécharger avec ftp le modifier et le renvoyer puis le renommer sans l'extention *.txt et tu aura le même resultat que dans mon tuto.
      De plus c'est bien de garder ce fichier "original" car il contient des explications sur la sécurité.

      J'ai préféré etre "general" de A à Z dans mon tuto car sa marche même sans Joomla !!!

      Je l'ai fait pour un site avec Spip et même un forum Phpbb independant.

      Petite précision au sujet du tuto :

      Si vous avez la chance d'avoir plusieurs site dans votre dossier www RACINE de base chez votre hebergeur, www/site1, www/site2, www/site3 ext... VOUS DEVEZ TOUS LES EQUIPER d'un fichier .htaccess et d'un dossier CONFIG comme expliqué dans mon tuto bien spécifique à tout ses sites, c'est a dire que vous devrez TOUT recomencer comme expliqué dans mon tuto et donc rentrer un nouveau chemin absolu pour tout les sites!!!

      Cordialement
      Dernière édition par felichon à 01/09/2006, 12h41

      Commentaire


      • #4
        je comprends pas tout!!
        a la racine de monsite sur le serveur(distant) il y a le fichier .htaccess(actif) et non htaccess.txt
        donc si je renomme le fichier sos.htaccess en .htaccess,il va y avoir deux fichiers .htaccess!!ou plutot il va ecraser le premier!
        http://www.creaweb40.com/ - Creation de sites internet dans les Landes

        Commentaire


        • #5
          Ok,

          Avec ton ftp rappatrie le sur ton disque dur

          Ouvre le avec le bloc note et fait la modif comme dans le tuto.

          Puis, renvois le sur ton site comme il l'est, sans le nommé "sos.htaccess" au besoin écrase l'original.

          Bref, tu fait du direct. T'etonne pas de voir du texte déja present dans ton .htaccess de ton site, c'est pas grave, ajoute la ligne de code comme dans le tuto.

          Courage, c'est facile
          Dernière édition par felichon à 01/09/2006, 12h43

          Commentaire


          • #6
            si je comprends bien, il suffit de rajouter: SetEnv PHPRC"/home/t/tuto/www/config/" dans le htaccess deja present alors?
            a quel niveau?
            est ce que ça marche pour un hebergement chez ovh?
            http://www.creaweb40.com/ - Creation de sites internet dans les Landes

            Commentaire


            • #7
              OUI

              Pour le code rajouté (mais il faut mettre le chemin absolu comme expliqué dans le tuto, mais pas en l'état comme dans ton post si dessus)

              Tu peu le placer n'importe ou dans le fichier .htaccess

              Pour ton hebergeur je sais pas, normalement oui, y'a pas de raison !

              ATTENTION, si tu met pas le chemin absolu comme je l'ai expliqué sa ne marchera pas !!!!!

              PS: j'ai fait une mise a jour de mon tuto, relis-le, merci ...

              Et comme tu la dit, c'est très simple au bout du compte
              Dernière édition par felichon à 01/09/2006, 12h52

              Commentaire


              • #8
                ok merci mais bon pour l'instant je n'ose pas faire cette mise a jour avec tous les problemes qu'il y a!!
                http://www.creaweb40.com/ - Creation de sites internet dans les Landes

                Commentaire


                • #9
                  Bonjour,

                  J'ai émulé SEF dans ma configuration
                  Je n'AI PAS renommé le fichier htaccess.txt
                  J'ai ouvert le fichier /includes/sef.php et changé la ligne : (~ 217)
                  return $mosConfig_live_site."/".$string;
                  en
                  return $mosConfig_live_site."/index.php/".$string;
                  (lu dans forum joomla.org)

                  Donc le SEF remplit pleinement son rôle sans avoir eu besoin de renommer le fichier htaccess. Si pour des raisons de sécurité, invoquées plus haut, je renomme ce fichier en .hraccess, je n'ai plus accès à aucune page du site.

                  Quid de ta solution ?

                  Merci
                  La compréhension vient souvent d'une bonne lecture

                  Commentaire


                  • #10
                    C'est comme tu veux, moi je l'ai fait 3 fois ce matin j'ai 3 sites !!!

                    Je te fait un résumé rien que pour toi VENT 40 :

                    Il faut faire un fichier *.php.ini avec register global à off
                    Un dossier qui le contiendra, par exemple un dossier nommé config
                    Modifier ou créer un fichier nommé .htaccess avec le code que j'ai décrit plus haut.

                    Voila tu envois le tout sur ton site et c'est tout!

                    Pour les autres paramêtres de sécurité, tu n'a que le chiffre 1 à changer en 0 rien de bien "mechant".

                    Juste un détail, tu te dit que tu peu mettre de coté cette sécurité et bien sache que si tu a le registar global à ON on peu literalement te piller ton site et y faire ce que bon nous y semble !!!!

                    Fait très attention !!!!


                    Tu es prévenu ...

                    Sans vouloir te faire peur, bon courage.

                    Quand à toi mon collègue Gérard Manlut.

                    Je ne sais que te dire, j'ai pas testé ta solution, la mienne me suffit, mon site est blindé.
                    Je sais juste qu'il vaut mieu modifier le fichier .htaccess que la config de Joomla en general, car ce fichier est très puissant car difficilement accéssible depuis le web sans les paramêtres perso ftp contrairement au fichier de Jommla !!!

                    Cordialement, un ami
                    Dernière édition par felichon à 01/09/2006, 13h18

                    Commentaire


                    • #11
                      Houlà, te fache pas mon ami, ce n'étais point une critique, au contraire....

                      Simplement pour dire que le fait de renommer le htaccess me donne ceci :
                      page blanche avec Forbidden et (in english) Vous n'avez pas la permission d'accès au fichier index.php du serveur.

                      Suis chez OVH

                      Cordialement et sans rancune
                      La compréhension vient souvent d'une bonne lecture

                      Commentaire


                      • #12
                        Cool !

                        Mais non, moi pas faché du tout

                        Je sais pas pour ton problème désolé

                        Moi, j'ai juste mis un tuto plustot cool, pour le reste faut voir, normalement avec ma methode ça passe plutot bien

                        Ciao's amigo's

                        Commentaire


                        • #13
                          salut
                          perso quand je met register_globals sur Off mon joomlaboard ne fonctionne plus

                          Merci

                          Commentaire


                          • #14
                            Normal

                            Normal !!!

                            Register global est sur ON par défaut pour assurer la compatibilité en général, parfois certain composant ne marcherons pas, c'est un choix a faire, soit tu veux un site protégé, soit tu veux un composant qui marche, fait ton choix.

                            Note que je peu te pirater ton site demain si je veux avec register global sur On, tu veux que je t'envois un virus pour voir ?

                            Je rigole bien sur, mais je peu vraiment le faire facilement (je te donnerai pas la methode sur le forum pour ne pas inciter les voyous du web) sache qu'avec google tu peu trouver toi-même comment te pirater, conseil met le sur off vite fait tant pis pour Joomlaboard !!!

                            Ciao.
                            Dernière édition par felichon à 01/09/2006, 20h28

                            Commentaire


                            • #15
                              La plupart des mises à jour de composants, quand elles existent, sont trouvables ici (en anglais):
                              http://forum.joomla.org/index.php/board,296.0.html
                              Joe
                              Blog captures d'écran Joomla! 1.5:
                              http://joomla15.blogspot.com

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X