Joomladay francophone 2018 à Paris 18 et 19 mai

Comment sécurisé son site ? (débutant: attends réponse claire)

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Comment sécurisé son site ? (débutant: attends réponse claire)

    Voila je viens de créer un site sur joomla et je cherche à le sécurisé...
    Pour le moment j'ai modifié l'identifiant admin comme dans joomla pour les nuls http://php.developpez.com/cours/joom...=pratique#LV-B
    et j'ai renommer le fichier htacces.txt en .htacces

    Que dois-je faire de plus pour mieux sécuriser mon site ?? j'ai lu des sujets qui parlent du fichier .htpasswd mais je ne sais pas quoi faire pour l'installer sur mon site.

    Merci de votre aide =).
    Dernière édition par chabinantes à 28/01/2009, 17h07
    http://www.circuits-velo.fr

  • #2
    Envoyé par alvaro Voir le message
    Bonjour,
    je te conseille d'aller faire un tour dans le sous-forum "Sécurité" (où, tu aurais pu poster )mais aussi ici

    Il y a à mon humble avis 3 choses importantes (+ 1, l'hébergeur...) sur lesquelles tu peux faire quelque chose dans Joomla:
    Le htaccess. performant
    2 plugins: JSecure +Sentinelle

    Alvaro
    Bonjour,

    Je viens d'obtenir une réponde d'Alvaro sur ma discussion (mal placée !) et dont le post est copié ci-dessus. Je pense que cela est une excellente voie. Comme toi, je débute et souhaite me protéger, ayant été hacqué une fois, mais une fois de trop !

    Jacq
    Le savoir ne vaut que s'il est partagé par tous......

    Commentaire


    • #3
      Un composant d'url rewriting tel que sh404sef apporte beaucoup au niveau sécurité aussi.

      Ancien pseudo : Fleuve Blanc

      Commentaire


      • #4
        re : quelques conseils sécurité

        bonjour, après avoir lu pas mal de posts sur la sécurité, voici quelques conseils....

        Dans un premier temps, toujours installer la dernière version (1.5.9 à l'heure ou j'écris).

        Vérifier :
        - la présence de ton .htacess sur la racine du site
        - Protéger ton répertoire administrator par un .htacess et un .htpassword (tu as pas mal de posts la dessus dans ce forum)

        Une fois ton site configuré et installé, tu peux via un client FTP comme Filezilla , vérifier les CHMOD :

        pour + de securité :
        fichier: "configuration.php" en chmod 400
        fichier : "index.php" en chmod 444

        le defaut des repertoires est 755
        le defaut de tous fichiers 644


        Il y a aussi la solution de renommer le dossier administrator, voir posts "sentinelle"....

        Bon courage

        cordialement

        www-tice-education.fr
        Cordialement
        http://www.tice-education.fr/

        Commentaire


        • #5
          Merci de ta réponse mais je voudrais juste avoir 2-3 certitude.
          Pour changer le chmod dans file zilla il suffit de changer la valeur numérique ? (644 sur mon index.php). Il y a d'autre manip à faire ou juste ça en ce qui concerne le chmod ?

          Pour ce qui est du .htacces et .htpasswd. Il n'y a pas grand chose à faire non plus ?
          Je créer un .htacces contenant
          AuthType Basic
          AuthName "Accès réservé"
          AuthUserFile /chemin/dusite/cheztonhébergeur/administrator/.htpasswd
          <Limit GET>
          require valid-user
          </Limit>

          puis je génère un .htpasswd qui ne contient que le code que j'aurai générer sur http://www.htaccesstools.com/htpasswd-generator

          Mais est-ce nécessaire si j'ai déja installé Jsecure ?

          Est ce bien ça ?
          Dernière édition par chabinantes à 28/01/2009, 13h39
          http://www.circuits-velo.fr

          Commentaire


          • #6
            Pour le CHMOD : oui

            Pour .htacces et .htpasswd : oui

            Est-ce nécessaire si j'ai déja installé Jsecure ? Certain diront que 2 protection valent mieux qu'une. Perso, je ne trouve pas ça nécessaire. J'ai une préférence pour .htacces et .htpasswd, mais Jsecure a l'air pas mal.

            Ancien pseudo : Fleuve Blanc

            Commentaire


            • #7
              Envoyé par fleuveblanc Voir le message
              Pour le CHMOD : oui

              Pour .htacces et .htpasswd : oui

              Est-ce nécessaire si j'ai déja installé Jsecure ? Certain diront que 2 protection valent mieux qu'une. Perso, je ne trouve pas ça nécessaire. J'ai une préférence pour .htacces et .htpasswd, mais Jsecure a l'air pas mal.

              Merci mais j'ai une dernière question... C'est normal que l'on ne me demande pas le mot de passe que j'ai crée sur le .htpasswd lorsque je me connecte à mon admin une fois les fichiers .htacces et .htpasswd créés ?

              Encore merci
              http://www.circuits-velo.fr

              Commentaire


              • #8
                Non, ça n'est pas normal.

                Perso, je l'ai mis en place en suivant ce tuto : http://www.siteduzero.com/tutoriel-3...-htaccess.html

                Tu es sur de ton chemin d'accès dans "AuthUserFile /chemin/dusite/cheztonhébergeur/administrator/.htpasswd" ? Il ne contient pas ton nom de domaine, mais est du même type que $log_path dans ton fichier configuration.php

                Ancien pseudo : Fleuve Blanc

                Commentaire


                • #9
                  Envoyé par fleuveblanc Voir le message
                  Non, ça n'est pas normal.

                  Perso, je l'ai mis en place en suivant ce tuto : http://www.siteduzero.com/tutoriel-3...-htaccess.html

                  Tu es sur de ton chemin d'accès dans "AuthUserFile /chemin/dusite/cheztonhébergeur/administrator/.htpasswd" ? Il ne contient pas ton nom de domaine, mais est du même type que $log_path dans ton fichier configuration.php

                  ça marche toujours pas mais bon c'est pas grave. J'ai Jsecure pour le moment qui marche bien.

                  Merci quand même
                  http://www.circuits-velo.fr

                  Commentaire


                  • #10
                    Redémarre ton PC pour être sur que tu n'es pas connecté dans une session mise en place précédemment.

                    Ancien pseudo : Fleuve Blanc

                    Commentaire


                    • #11
                      Ou plus simplement efface les cookies du domaine

                      Commentaire


                      • #12
                        Bonjours,
                        je refais monter le post, pour les même raison qu'à l'origine de celui ci.
                        depuis 4 mois il y a du avoir quelques changements ?
                        Je voudrais avoir vos conseil aviser donc sur la meilleure façon à l'heure actuelle de se protéger ?
                        sentinelle ? jsecure ? CHMOD à modifier ? htaccess haute sécurité by SIRIUS ? etc...

                        merci pour votre aide

                        Commentaire


                        • #13
                          Bonjour
                          moi aussi je debut en Joomla et je veut secursier mon site et de plus je veux que les utilisateur acceder meme à la page d'auth pour l'admin
                          est ce que c'est possible de renomer ou de modifier le lien vers cette page
                          Tous ce que je sais que je ne sais rien
                          Dire merci dans les message donne un plaisirs à qui lit les mots même si vous dite des bêtises

                          Commentaire


                          • #14
                            Envoyé par chabinantes Voir le message
                            Merci de ta réponse mais je voudrais juste avoir 2-3 certitude.
                            Pour changer le chmod dans file zilla il suffit de changer la valeur numérique ? (644 sur mon index.php). Il y a d'autre manip à faire ou juste ça en ce qui concerne le chmod ?

                            Pour ce qui est du .htacces et .htpasswd. Il n'y a pas grand chose à faire non plus ?
                            Je créer un .htacces contenant
                            AuthType Basic
                            AuthName "Accès réservé"
                            AuthUserFile /chemin/dusite/cheztonhébergeur/administrator/.htpasswd
                            <Limit GET>
                            require valid-user
                            </Limit>

                            puis je génère un .htpasswd qui ne contient que le code que j'aurai générer sur http://www.htaccesstools.com/htpasswd-generator

                            Mais est-ce nécessaire si j'ai déja installé Jsecure ?

                            Est ce bien ça ?
                            jSecure ou htaccess pour protéger l'admin, pas les deux, ça me semble inutile.

                            jSecure est très pratique. Sur un serveur j'ai eu un problème avec les redirections du plugin (boucle sans fin).

                            htaccess est super efficace. Mais il peut interférer avec certaines extensions utilisées en FrontEnd (extensions qui ont peut-être un problème, dans ce cas ?!).

                            Ne pas oublier aussi de renommer l'administrateur par défaut de Joomla! ("admin").

                            Commentaire


                            • #15
                              Envoyé par funpro Voir le message
                              Bonjour
                              moi aussi je debut en Joomla et je veut secursier mon site et de plus je veux que les utilisateur acceder meme à la page d'auth pour l'admin
                              est ce que c'est possible de renomer ou de modifier le lien vers cette page
                              Plugin jSecure pour ça.

                              Si d'autres utilisateurs accèdent au backend, il est prudent de les laisser en administrateur (ou inférieur) et non pas super-administrateur.

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X