Re : Comment bien sécuriser un site Joomla

Bonjour à tous,

Afin de compléter ce post, depuis janvier 2014, un nouvel outil permettant de sécuriser son site Joomla! (mais pas exclusivement car protégeant tout qui tourne sur Apache) est disponible en version gratuite et payante. Il s'agit de aeSecure : http://aesecure.com/

Demo : http://aesecure.com/_demo/aesecure/setup.php

Bonne journée.

Re : Comment bien sécuriser un site Joomla

+1 avec Cavo

Re : Comment bien sécuriser un site Joomla

Merci pour votre réponse,

Ceci me permet de mettre à jour mes connaissances

Re : Comment bien sécuriser un site Joomla

Non, il ne faut plus faire ça; cela n'a plus aucun sens et en outre la majorité des composants (dont Akeeba Backup qui n'est pas le moindre) ne vont plus fonctionner. Ce renommage ne sert vraiment à rien; il te suffit de mettre un .htpasswd dans le dossier pourle protéger.

Re : Comment bien sécuriser un site Joomla

un grand bravo à cavo789 pour son document "Joomla-security" en pdf

une petite contribution, serait elle, de renommer le répertoire administrator par un autre nom ?

Re : Comment bien sécuriser un site Joomla

Excellent, Christophe Merci !

Je le place en début de post...

Re : Comment bien sécuriser un site Joomla

Bonjour

Je viens de publier une version draft de mon document : http://aesecure.com/fr/blog/joomla-securite.html

Draft car je l'ai seulement commencé hier soir et il y a certainement encore pas mal de choses à améliorer. Si vous avez des remarques, suggestions, idées d'améliorations, .... n'hésitez pas!, je suis preneur.

Bonne journée.

Re : Comment bien sécuriser un site Joomla

Bon, je viens de prendre un peu de temps pour écrire une présentation Powerpoint où je mets le principal; selon moi. Ceci sur le plan strict du webmaster. Il y aura beaucoup de choses à dire / redire pour un administrateur système mais là, pour le webmaster lambda que nous sommes tous, il y a de la matière.

Je vais tenter de finaliser cela asap puis je mets le ppt en download sur mon site.

Re : Comment bien sécuriser un site Joomla

Oh oui ça prend du temps !!! J'en sais aussi quelque chose.

Justement, si tu me le permet, sur le fait "d'écrire ici ou là des petits bouts d'articles"... ça va nous permettre de rassembler des "chapitres" ou des "thèmes" à compiler ultérieurement dans un article final complet, vraisemblablement destiné au site "Aide". Il faut bien commencer par un bout (le forum n'étant pas un wiki) on est obligé d'ajouter les infos de manière linéaire, post par post.

Mon précédent message ne t'étais surement pas destiné Tu as déjà de la bonne matière à exploiter sur ton blog et un petit rappel de liens serait le bienvenu, notamment concernant les astuces .htaccess qui sont vraiment utiles !

Je m'adressais plutôt à d'éventuels (autres) rédacteurs afin de dynamiser le sujet et ajouter de la matière à traiter par la suite... Yann si tu me lis

Et en parlant de matière j'ai aussi un cas pratique d'exploitation de la faille d'inclusion de fichiers php dans /images/stories à rédiger... facilement bloquée par le petit .htaccess dont tu as parlé récemment. Et heureusement car, sans cela, la pénétration système peut être profonde et potentiellement catastrophique.

Re : Comment bien sécuriser un site Joomla

Chalut !

Le soucis, c'est le temps. J'ai de la matière première mais écrire un billet sur la sécurité demande beaucoup de temps, énormément de temps si on essaie d'être (un peu) exhaustif.

L'idée n'étant pas d'expliquer ici et là et encore là une astuce mais bien regrouper, en un seul article, un ensemble de conseils et là, oui, il faut du temps.

Dans le cadre de la JUG Wallonie, je vais probablement présenter un petit atelier concernant la sécurité et je serais bien forcé alors de prendre ce temps sur une de mes nuits :-)

Re : Comment bien sécuriser un site Joomla

Ben alors, personne ne veut compléter ce sujet ?

C'est une bonne idée mais s'il y en a qu'un qui écrit ça va être long...

Re : Comment bien sécuriser un site Joomla

[mode taquin] je prends de l'avance Yann [/mode taquin]

Cette fois, il s'agit de sécuriser véritablement son accès "admin" Joomla!

Si vous n'avez pas accès aux méthodes de protection de niveau serveur et que vous voulez compléter les extensions de sécurité disponibles, vous pouvez mettre en place une authentification à deux facteurs pour votre zone d'administration.

Qu'est-ce que c'est que ce truc encore (dirons certains) ?

Depuis toujours on se connecte avec le couple login-mot de passe classique pour accéder à son administration Joomla! : il s'agit d'une authentification à 1 facteur (le mot de passe). Mais depuis quelques temps les techniques de piratage ayant évolué, cette sécurité ne suffit plus...

On ajoute un facteur supplémentaire : une clé forte, unique et aléatoire, générée par un dispositif spécifique. On a donc 2 facteurs basés sur :

- ce que l'on connaît : son mot de passe classique
- ce que l'on détient : une clé USB cryptographique ou un smartphone

L'article complet sur ce blog vous permet de découvrir ces 2 approches avec plus de précision.

Personnellement je mets en place ce type de dispositif pour les clients dont le site est très important ou vraiment sensible (e-commerce, intranets...). Un peu de paramétrage, un peu de formation-sensibilisation à la sécurité et le tour est joué

Re : Comment bien sécuriser un site Joomla

Bien reçu !
je pense que ça vaut le coup d'être patient et d'avoir cette synthèse

Re : Comment bien sécuriser un site Joomla

Je suis dessus... j'ai prévu quelques articles sur la sécurité qui viendront se greffer dans ce post (comme annoncé plus haut) et bien évidemment les 2 Crawl en font partie
On retrouvera également Admin Tools, RS Firewall, entre autres.

En revanche, tout cela prend du temps... à détailler et rédiger... ça va venir

Patience donc

Re : Comment bien sécuriser un site Joomla

Bonjour
une page de CrawlTrack résume pas trop mal les grandes lignes.


pour ma part, ça m'a bien aidé.

ps: vous en pensez quoi de crawltrack et crawlprotect ?