Comment bien sécuriser un site Joomla

Réduire
Ceci est un sujet important.
X
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • fynhooft
    a crée un sujet [Suggestion] Comment bien sécuriser un site Joomla

    Comment bien sécuriser un site Joomla

    Bonjour à toutes et à tous,

    On parle souvent de sites piratés sur le forum mais il n'y a pas de post marqué "important" précisant ce qu'il faut installer pour justement éviter de se faire pirater son site.
    Je propose donc à Daneel et aux spécialistes sécurité de fournir ici toutes les règles à respecter et tous les outils à utiliser pour y parvenir.

    Merci d'avance à tous les participants.

  • cavo789
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Bonjour à tous,

    Afin de compléter ce post, depuis janvier 2014, un nouvel outil permettant de sécuriser son site Joomla! (mais pas exclusivement car protégeant tout qui tourne sur Apache) est disponible en version gratuite et payante. Il s'agit de aeSecure : http://aesecure.com/

    Demo : http://aesecure.com/_demo/aesecure/setup.php

    Bonne journée.

    Laisser un commentaire:


  • manu93fr
    a répondu
    Re : Comment bien sécuriser un site Joomla

    +1 avec Cavo

    Laisser un commentaire:


  • fritz
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Merci pour votre réponse,

    Ceci me permet de mettre à jour mes connaissances

    Laisser un commentaire:


  • cavo789
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Non, il ne faut plus faire ça; cela n'a plus aucun sens et en outre la majorité des composants (dont Akeeba Backup qui n'est pas le moindre) ne vont plus fonctionner. Ce renommage ne sert vraiment à rien; il te suffit de mettre un .htpasswd dans le dossier pourle protéger.

    Laisser un commentaire:


  • fritz
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Envoyé par cavo789 Voir le message
    Bonjour

    Je viens de publier une version draft de mon document : http://aesecure.com/fr/blog/joomla-securite.html

    Draft car je l'ai seulement commencé hier soir et il y a certainement encore pas mal de choses à améliorer. Si vous avez des remarques, suggestions, idées d'améliorations, .... n'hésitez pas!, je suis preneur.

    Bonne journée.
    un grand bravo à cavo789 pour son document "Joomla-security" en pdf

    une petite contribution, serait elle, de renommer le répertoire administrator par un autre nom ?
    Dernière édition par cavo789 à 30/03/2014, 17h07

    Laisser un commentaire:


  • hyperion
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Excellent, Christophe Merci !

    Je le place en début de post...

    Laisser un commentaire:


  • cavo789
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Bonjour

    Je viens de publier une version draft de mon document : http://aesecure.com/fr/blog/joomla-securite.html

    Draft car je l'ai seulement commencé hier soir et il y a certainement encore pas mal de choses à améliorer. Si vous avez des remarques, suggestions, idées d'améliorations, .... n'hésitez pas!, je suis preneur.

    Bonne journée.
    Dernière édition par cavo789 à 30/03/2014, 17h07 Raison: Mise à jour url

    Laisser un commentaire:


  • cavo789
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Bon, je viens de prendre un peu de temps pour écrire une présentation Powerpoint où je mets le principal; selon moi. Ceci sur le plan strict du webmaster. Il y aura beaucoup de choses à dire / redire pour un administrateur système mais là, pour le webmaster lambda que nous sommes tous, il y a de la matière.

    Je vais tenter de finaliser cela asap puis je mets le ppt en download sur mon site.

    Laisser un commentaire:


  • hyperion
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Oh oui ça prend du temps !!! J'en sais aussi quelque chose.

    Justement, si tu me le permet, sur le fait "d'écrire ici ou là des petits bouts d'articles"... ça va nous permettre de rassembler des "chapitres" ou des "thèmes" à compiler ultérieurement dans un article final complet, vraisemblablement destiné au site "Aide". Il faut bien commencer par un bout (le forum n'étant pas un wiki) on est obligé d'ajouter les infos de manière linéaire, post par post.

    Mon précédent message ne t'étais surement pas destiné Tu as déjà de la bonne matière à exploiter sur ton blog et un petit rappel de liens serait le bienvenu, notamment concernant les astuces .htaccess qui sont vraiment utiles !

    Je m'adressais plutôt à d'éventuels (autres) rédacteurs afin de dynamiser le sujet et ajouter de la matière à traiter par la suite... Yann si tu me lis

    Et en parlant de matière j'ai aussi un cas pratique d'exploitation de la faille d'inclusion de fichiers php dans /images/stories à rédiger... facilement bloquée par le petit .htaccess dont tu as parlé récemment. Et heureusement car, sans cela, la pénétration système peut être profonde et potentiellement catastrophique.

    Laisser un commentaire:


  • cavo789
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Chalut !

    Le soucis, c'est le temps. J'ai de la matière première mais écrire un billet sur la sécurité demande beaucoup de temps, énormément de temps si on essaie d'être (un peu) exhaustif.

    L'idée n'étant pas d'expliquer ici et là et encore là une astuce mais bien regrouper, en un seul article, un ensemble de conseils et là, oui, il faut du temps.

    Dans le cadre de la JUG Wallonie, je vais probablement présenter un petit atelier concernant la sécurité et je serais bien forcé alors de prendre ce temps sur une de mes nuits :-)

    Laisser un commentaire:


  • hyperion
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Ben alors, personne ne veut compléter ce sujet ?

    C'est une bonne idée mais s'il y en a qu'un qui écrit ça va être long...

    Laisser un commentaire:


  • hyperion
    a répondu
    Re : Comment bien sécuriser un site Joomla

    [mode taquin] je prends de l'avance Yann [/mode taquin]

    Cette fois, il s'agit de sécuriser véritablement son accès "admin" Joomla!

    Si vous n'avez pas accès aux méthodes de protection de niveau serveur et que vous voulez compléter les extensions de sécurité disponibles, vous pouvez mettre en place une authentification à deux facteurs pour votre zone d'administration.

    Qu'est-ce que c'est que ce truc encore (dirons certains) ?

    Depuis toujours on se connecte avec le couple login-mot de passe classique pour accéder à son administration Joomla! : il s'agit d'une authentification à 1 facteur (le mot de passe). Mais depuis quelques temps les techniques de piratage ayant évolué, cette sécurité ne suffit plus...

    On ajoute un facteur supplémentaire : une clé forte, unique et aléatoire, générée par un dispositif spécifique. On a donc 2 facteurs basés sur :

    - ce que l'on connaît : son mot de passe classique
    - ce que l'on détient : une clé USB cryptographique ou un smartphone

    L'article complet sur ce blog vous permet de découvrir ces 2 approches avec plus de précision.

    Personnellement je mets en place ce type de dispositif pour les clients dont le site est très important ou vraiment sensible (e-commerce, intranets...). Un peu de paramétrage, un peu de formation-sensibilisation à la sécurité et le tour est joué

    Laisser un commentaire:


  • manu93fr
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Envoyé par hyperion Voir le message
    En revanche, tout cela prend du temps... à détailler et rédiger... ça va venir

    Patience donc
    Bien reçu !
    je pense que ça vaut le coup d'être patient et d'avoir cette synthèse

    Laisser un commentaire:


  • hyperion
    a répondu
    Re : Comment bien sécuriser un site Joomla

    Envoyé par manu93fr Voir le message
    ps: vous en pensez quoi de crawltrack et crawlprotect ?
    Je suis dessus... j'ai prévu quelques articles sur la sécurité qui viendront se greffer dans ce post (comme annoncé plus haut) et bien évidemment les 2 Crawl en font partie
    On retrouvera également Admin Tools, RS Firewall, entre autres.

    En revanche, tout cela prend du temps... à détailler et rédiger... ça va venir

    Patience donc

    Laisser un commentaire:

Annonce

Réduire
1 sur 2 < >

C'est [Réglé] et on n'en parle plus ?

A quoi ça sert ?
La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
Comment ajouter la mention [Réglé] à votre discussion ?
1 - Aller sur votre discussion et éditer votre premier message :


2 - Cliquer sur la liste déroulante Préfixe.

3 - Choisir le préfixe [Réglé].


4 - Et voilà… votre discussion est désormais identifiée comme réglée.

2 sur 2 < >

Assistance au forum - Outil de publication d'infos de votre site

Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

UTILISER À VOS PROPRES RISQUES :
L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

Problèmes connus :
FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

Installation :

1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

Archive zip : https://github.com/AFUJ/FPA/zipball/master

2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
et remplacer www. votresite .com par votre nom de domaine


Exemples:
Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/
Pour executer le script: http://www..com/fpa-fr.php

Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/cms/
Pour executer le script: http://www..com/cms/fpa-fr.php

En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
Voir plus
Voir moins

Partenaire de l'association

Réduire

Hébergeur Web PlanetHoster
Travaille ...
X