Joomladay francophone 2018 à Paris 18 et 19 mai

XAMPP sa sécurisation et flop je bloque...

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • XAMPP sa sécurisation et flop je bloque...

    Bonjour

    Le matin, les oiseaux chantaient le ciel était bleu et il faisait un temps magnifique.
    Heureux de bidouiller enfin moi même, j'avais réussi à installer Xampp, joomla dedans et Filezilla.
    J'avais accès à mon site en construction locale via localhost.
    Ne pigeant parfois que très lentement les choses.... , j'ai un peu regarder Xammp.

    Observant de beaux statuts de sécurité tout de rouge vêtu, j'ai suivis les instructions pour sécuriser la chose en suivant ce foutu lien:

    localhost/security/xamppsecurity

    J'ai introduit un nouveau password pour MYSQL SECTION: "ROOT" PASSWORD.

    Et là plus d'accès à mon site via ...

    Aparemment je devrais selon les explicatifs sheakspirien changer 2 petits trucs suivants les explicatifs de XAMPP qd je sécurise le truc... mais des heures que je rame.

    Blabla Xampp :
    -----------------------

    MySQL et PHP
    MySQL démarre sans mot de passe pour "root". Donc en PHP vous pouvez vous connecter au serveur MySQL avec : mysql_connect("localhost","root","");
    Pour ébablir un mot de passe root pour MySQL, vous pouvez utiliser "mysqladmin" en mode console. Par exemple:

    \...\xampp\mysql\bin\mysqladmin -u root password secret

    Attention: Après le changement du mot de passe pour root, n'oubliez pas d'en informer phpMyAdmin. Sous .\xampp\phpmyadmin, localisez config.inc.php et modifiez les lignes suivantes:

    $cfg['Servers'][$i]['user'] = 'root'; // MySQL SuperUser
    $cfg['Servers'][$i]['auth_type'] = 'http'; // HTTP MySQL authentification

    En conséquence, le mot de passe correct pour root devra être fourni avant que phpMyAdmin ne puisse démarrer.

    Autres méthodes :
    -----------------------------

    Comment donne t-on un mot de passe Root au serveur MySQL?
    Ma méthode! Ouvrir la console et dans le répertoire \xampp\mysql\bin écrire les commandes suivante:
    mysqladmin -u root password secret
    Evidemment "secret" doit être votre mot de passe. Ensuite faire connaître le nouveau mot de passe Root pour PHPMyAdmin. Pour cela dans \xampp\phpmyadmin ouvrir le fichier "config.inc.php" avec un éditeur de texte et changer ce qui suit.
    À la place de ...

    $cfg['Servers'][$i]['user'] = 'root';
    $cfg['Servers'][$i]['password'] = '';
    remplacer par ...
    $cfg['Servers'][$i]['user'] = 'root';
    $cfg['Servers'][$i]['password'] = 'secret';


    Mettre un mot de passe Root avec mysqladmin à travers une console.

    Comment donne t-on un mot de passe Root au serveur MySQL? (Methode 2)
    Bien, il y a encore une autre possibilité, directement avec PHPmyAdmin attribuer à l'utilisateur et Root un mot de passe. Pour cela démarrer PHPmyAdmin avec http://127.0.0.1/phpmyadmin, ouvrir la base données "mysql"(ne jamais effacer!!!) et chercher la table "User". À cet endroit entrer d'aprés le schéma un nouvel utilisateur ou bien un autre mot de passe par ex. pour Root. Redémarrer MySQL! Lorsque "Root" a un mot de passe ne pas oublier aprés d'éditer le fichier "config.inc.php" dans \xampp\phpmyadmin pour y mettre le nouveau mot de passe de Root.
    Comment donne t-on un mot de passe Root au serveur MySQL?( Méthode Bâloise)
    Cette méthode vient de Rüdi de Bâle. Merci et bien le bonjour en Suisse!

    Truc: L'effacement du mot de passe Root peut être exécuter avec \mysql\resetroot.bat. Ainsi le mot de passe est effacé "", vide.

    Dans cet exemple XAMPP se trouve à C:\Programme\apachefriends\xampp.

    Point 1: Ouvrir la console, run: cmd
    C:\Programme\apachefriends\xampp\mysql\bin>mysqld-nt --skip-grant-tables

    Point 2: Ouvrir la console, run: cmd
    C:\>C:\Programme\apachefriends\xampp\mysql\bin\mys qladmin -u root flush-privileges password "newpwd"

    Point 3: Stopper MySQL
    C:\>C:\Programme\apachefriends\xampp\mysql\bin\mys qladmin -u root -p shutdown
    Enter password: ****** (newpwd)

    Point 4: Éditer config.inc.php pour l'accés de PHPMyAdmin
    C:\Programme\apachefriends\xampp\phpmyadmin\config .inc.php
    Chercher "root" et entrer
    '$cfg['Servers'][$i]['password'] = 'newpwd'; // MySQL password

    Point 5: Redémarrer MySQL.

    ----



    J'ai tester plusieurs méthodes sans y être arrivé au bout...

    Pour la première méthode j'ai utilié l'aborescence windows explorer, j'ai modifié le password en notifiant l'ancien dans ce qui semble être la console, choske appellée winmysqladmin (si j'ai bien pigé si c'est çà...)

    Mais je bloque au niveau du texte :

    Attention: Après le changement du mot de passe pour root, n'oubliez pas d'en informer phpMyAdmin. Sous .\xampp\phpmyadmin, localisez config.inc.php et modifiez les lignes suivantes:

    $cfg['Servers'][$i]['user'] = 'root'; // MySQL SuperUser
    $cfg['Servers'][$i]['auth_type'] = 'http'; // HTTP MySQL authentification

    En conséquence, le mot de passe correct pour root devra être fourni avant que phpMyAdmin ne puisse démarrer.

    Voilà suis naze, mal aux yeux et désespéré.
    Si qq'un pourrait me donner un coup de pattes ce serait sympa...

    Merci.

    Cordialement

  • #2
    Bonjour,
    en local, pas besoin de se prendre la tête avec la sécurité... le plus simple est sans doute de faire machine arrière ! Surtout que ça ne te sera d'aucune utilité pédagogique pour la publication, ton fournisseur te donnera un user/password en principe non modifiables directement.

    Donc là, tu as modifié le mot de passe de ton compte de base de données. Tous les logiciels qui attaquent cette base de données ont quelque part dans un fichier de config le user et le password de ce compte ; maintenant qu'il a changé, ils vont marcher beaucoup moins bien.

    PhpMyAdmin c'est le programme d'administration de ta base de données. Il s'est installé en même temps que xamp ; même si tu ne t'es pas encore servi, ça serait dommage de ne pas le reparamétrer.
    Le fichier de config est dans xamp/phpmyAdmin, qui est lui même dans programs ou là où tu l'as installé, qu'est-ce qui te bloque à ce stade ?

    Ensuite et surtout, même manip pour Joomla! dans le fichier configuration.php qui est dans la racine du site (là où tu as dézippé tes fichiers d'install) et ça se passe là :

    var $user = 'root';
    var $password = '';

    Courage !
    Schtroumpfe toi le Schtroumpf t'aidera.
    Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

    Commentaire


    • #3
      Bonjour Grand Smurf comme on dit dans nos contrées.

      Mon mal de tête ne m'a pas quitté...
      Je viens de lire et relire ton explicatif...

      - En gros au niveau sécurité xampp il m'indique : "The MySQL admin user root has no longer no password".

      Si je piges qq chose (ce qui n'est pas sur ...), j'ai 3 trucs à modifier :

      1) J'ai modifié selon les explicatifs ci dessus (\...\xampp\mysql\bin\mysqladmin -u root password secret) dans l'arborescence windows la chose suivante :
      xampp/mysql/bin/winmysqladmin (ce qui semble être un mini programme) onglet my ini. set up la fin du code :

      [WinMySQLadmin]
      Server=C:/xampp/mysql/bin/mysqld-nt.exe
      user=root
      password= (ici mon mot de passe)

      Phpmyadm est accessible via le panel xampp, qu'entends tu par "dommage de ne pas le reparamétrer" ?

      2) Pour ce qui est du fichier config (config.inc.php), la suite de la première méthode, qui est dans l'arborescence windows xamp/phpmyAdmin (xampp\phpmyadmin, localisez config.inc.php ), je ne trouve que le fichier config.inc, config.inc.php.safe, et config.sample.inc ...
      Je ne trouves pas l'autre

      3) Et selon toi "Ensuite et surtout, même manip pour Joomla! dans le fichier configuration.php qui est dans la racine du site (là où tu as dézippé tes fichiers d'install) et ça se passe là " si j'ouvre mon site situé dans le dossier htdocs, je trouve les fichiers suivants :
      - CHANGELOG
      - configuration
      - configuration.php-dist

      etc...

      Cmt ouvres tu les petites choses pour obtenir ?

      var $user = 'root';
      var $password = '';

      ---

      A mon niveau ne serait il pas plus simple de tout réinstaller...
      Je copie colle tout mon dossier site autre part, je désinstalle xampp/ filezilla etc...
      Je réinstalle le tout puis je re-copie colle tout mon dossier site...
      ---

      A ce niveau je suis surement le schtroumpf pas de chance

      Merci de tes lumières Grand Stroumpfs

      Cordialement

      Commentaire


      • #4
        Re,
        qu'entends tu par "dommage de ne pas le reparamétrer" ?
        ben faut justement lui donner le mot de passe (ton point 2) pour qu'il puisse ouvrir ta base.

        l
        ocalisez config.inc.php ), je ne trouve que le fichier config.inc, config.inc.php.safe, et config.sample.inc ... Je ne trouves pas l'autre
        Hum... tu dois avoir l'option "masquer les extensions des fichiers connus" ou un truc comme ça (*). Ça doit donc être config.inc.

        si j'ouvre mon site situé dans le dossier htdocs, je trouve les fichiers suivants :
        - CHANGELOG
        - configuration
        - configuration.php-dist
        idem configuration, l'extension php étant masquée.

        Cmt ouvres tu les petites choses pour obtenir ?
        Avec un éditeur de texte style notepad (essaye clic droit, modifier)

        Tu m'a l'air *très* débutant... j'insiste sur le fait que la meilleure solution est probablement d'annuler ta modif : l'alerte de sécurité concerne les sites publié, pas de risque en local !

        (*)
        Sur l'icône Poste de travail du bureau, tu fais clic droit, explorer.
        Dans le menu en haut tu choisis outils, options des dossiers,
        Onglet Affichage, vers le milieu, tu enlèves la coche devant
        "Masquer les extensions des fichiers dont le type est connu".
        Bienvenue dans un monde où les .php existent !
        Si ça ne te plait plus, manip inverse, recoche la case.
        Schtroumpfe toi le Schtroumpf t'aidera.
        Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

        Commentaire


        • #5
          Re Big Schtroumpf

          Concernant "qu'entends tu par "dommage de ne pas le reparamétrer" ?"

          Dixit toi "ben faut justement lui donner le mot de passe (ton point 2) pour qu'il puisse ouvrir ta base".

          Ce que je vois :

          Je me logg via Xammp sur Myphpmyadmn.
          Je choisis à gauche mysql
          User I suppose.

          Là je vois :
          ----------------
          - Host : localhost / user : root avec une ligne chiffrée (cryptée peut être ??) Est ce à cet endroit que je dois changer le mot de passe et encodé le nouveau ???
          - Host : localhost / user : pma
          - Host : 127.0.0.1 / user : root (bizarre celui là on dirait une adresse IP)..

          Concernant :

          Localisez config.inc.php , je ne trouve que le fichier config.inc, config.inc.php.safe, et config.sample.inc ... Je ne trouves pas l'autre .

          Hum... tu dois avoir l'option "masquer les extensions des fichiers connus" ou un truc comme ça (*). Ça doit donc être config.inc.

          Yes j'avais déjà essayer le truc (je suis "bleu clair" qq part..) mais je ne le vois pas plus.
          Je ne sais plus ou j'ai lu qq chose là dessus mais de mémoire au niveau de l'installation xampp il n'installait pas d'office la chose.... pourtant je vois des paquets de fichiers de type php...

          Le problème de visu de ce fichier se présente également au niveau de mon site... malgré l'option montrer fichiers cachés...

          Pour modifier je possède dreamwaver, j'arrive à ouvir et à voir les lignes de code c'est déjà çà ....
          Mais bon si je ne vois pas ce fichier je pédalle dans la semoule, ou la salseparaille
          Un bail que j'essaye de bidouiller tout seul comme tu t'en rends compte.....

          Concernant :

          j'insiste sur le fait que la meilleure solution est probablement d'annuler ta modif : l'alerte de sécurité concerne les sites publié, pas de risque en local !

          Je suis partant mais comment annuler ces modifs ???
          Ouinnn....

          Merci déjà !

          Commentaire


          • #6
            J'ai réussi grand Schtroumpf
            J'ai méditer, utiliser dreamwaver pour modifier le fichier dans mypshadm (ds Xampp et windows) ou aucuns mots de passe étaient présent...
            Bidouiller dans mini console mysql.
            Relancer le panel xampp et oh miracle, retour de la salsepareille.
            Grand merci pour les piste sà à charge de revanche

            Cordialement

            Le big blue.

            En visuel le site me donne çà :

            404 - Article #22 not found
            You may not be able to visit this page because of:

            an out-of-date bookmark/favourite
            a search engine that has an out-of-date listing for this site
            a mistyped address
            you have no access to this page
            The requested resource was not found.
            An error has occurred while processing your request.
            Please try one of the following pages:


            Home Page

            If difficulties persist, please contact the System Administrator of this site.

            Bon suis pas sorti de l'auberge moi...
            Je ferai avec..
            Dernière édition par L'entonoir à 03/12/2008, 17h31

            Commentaire

            Annonce

            Réduire
            1 sur 2 < >

            C'est [Réglé] et on n'en parle plus ?

            A quoi ça sert ?
            La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

            Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

            Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
            Comment ajouter la mention [Réglé] à votre discussion ?
            1 - Aller sur votre discussion et éditer votre premier message :


            2 - Cliquer sur la liste déroulante Préfixe.

            3 - Choisir le préfixe [Réglé].


            4 - Et voilà… votre discussion est désormais identifiée comme réglée.

            2 sur 2 < >

            Assistance au forum - Outil de publication d'infos de votre site

            Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

            Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

            Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

            UTILISER À VOS PROPRES RISQUES :
            L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

            Problèmes connus :
            FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

            Installation :

            1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

            Archive zip : https://github.com/AFUJ/FPA/zipball/master

            2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

            3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

            4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

            5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

            6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
            et remplacer www. votresite .com par votre nom de domaine


            Exemples:
            Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
            Télécharger le script fpa-fr.php dans: /public_html/
            Pour executer le script: http://www..com/fpa-fr.php

            Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
            Télécharger le script fpa-fr.php dans: /public_html/cms/
            Pour executer le script: http://www..com/cms/fpa-fr.php

            En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

            Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
            Voir plus
            Voir moins
            Travaille ...
            X