Joomla et la sécurité

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Joomla et la sécurité

    Bonjour à tous,

    suite à petit soucis, je me suis rendu compte que je n'étais pas au top au niveau de la sécurité de mon site, même si je fais des sauvegardes toutes les semaines et que j'ai toujours la dernière version de joomla.

    En creusant un peu, je viens ainsi de découvrir qu'il était fortement recommandé d'installer le script crawlprotect afin de limiter les attaques (injections, badbots, aspirateurs de site...).

    et maintenant, je découvre qu'il est aussi question d'installer un plugin pour protéger l'accès à l'administration du site (pourtant j'ai un très bon mot passe avec caractères spéciaux, minuscules, majusles et chiffres...).

    Qu'en pensez-vous ? Est-ce vraiment indispensable ?
    lequel installer ?

    Merci d'avance pour votre aide

    David

  • #2
    Re : Joomla et la sécurité

    Bonjour,

    CrawlProtect n'est pas spécifique Joomla! Il s'agit d'un script autonome qui vise à sécuriser autant que faire se peut tout site web.

    Sur l'installation d'un plugin pour protéger les accès administrator, c'est souvent conseillé.
    Pas de demande de support par MP.
    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

    Commentaire


    • #3
      Re : Joomla et la sécurité

      Bonjour,

      tu peux par exemple voir aeSecure : http://aesecure.com/fr/
      Pour apprendre à construire votre site web avec Joomla 3 : Joomla3! Le Livre Pour Tous : http://cinnk.com/joomla/3/le-livre-pour-tous

      Référencement Joomla! 10 astuces pour référencer son site web https://cinnk.com/articles/referencement-joomla-10-astuces-pour-referencer-son-site-web

      Créez votre boutique en ligne avec Joomla! & HikaShop http://cinnk.com/boutique/livres/cre...la-et-hikashop

      Commentaire


      • #4
        Re : Joomla et la sécurité

        Bonjour,
        Pour sécuriser votre site contre les attaques injection sql, aspiration de site bloque les script tag etc... Vous devez avoir un fichier .htaccess sur votre root. J'ai déjà fessait une formation htaccess pour ça, veuillez consultez la formation depuis ce lien : www.sbahjaoui-info.com


        Envoyé de mon iPad à l'aide de Forum Joomla.fr

        Commentaire


        • #5
          Re : Joomla et la sécurité

          En+ il y'a une superbe extension de sécurité securitycheck il y'a version pro et une gratuite.


          Envoyé de mon iPad à l'aide de Forum Joomla.fr

          Commentaire


          • #6
            Re : Joomla et la sécurité

            merci pour vos réponses...
            en lisant la doc de aesecure, je vois qu'il installe un .htaccess
            est-ce compatible avec crowlprotect qui lui aussi installe un htaccess ?

            - - - Mise à jour - - -

            aesecure est payant... (
            y en a t-il des gratuits ? Lequel choisir ?

            Commentaire


            • #7
              Re : Joomla et la sécurité

              Bonjour

              Envoyé par dav_cbr Voir le message
              aesecure est payant... ( y en a t-il des gratuits ?
              Il existe une version gratuite de aeSecure et qui apporte déjà une excellente protection de base.
              Pour la version payant et totale, pour info, elle ne coûte que 20€. C'est beaucoup pour celui qui souhaite du 100% gratuit (pas de soucis!). Sache que ce logiciel a été développé durant six mois et que le coût est donc, proportionnellement, liluputien Si ton site serait hacké; dis-toi que 20€ seront vite remboursé lorsque tu passeras des heures (ou jours) à nettoyer le site et à récupérer tes données.

              Envoyé par dav_cbr Voir le message
              Lequel choisir ?
              Celui qui t'apportera le plus grand confort d'utilisation et le plus de fonctionnalités pour le prix que tu es prêt à mettre.
              Sur le plan stricte de la sécurité, je pense que les versions gratuites se valent toutes. Reste l'additionnel.

              Envoyé par dav_cbr Voir le message
              en lisant la doc de aesecure, je vois qu'il installe un .htaccess
              est-ce compatible avec crowlprotect qui lui aussi installe un htaccess ?
              Non et c'est aussi cela ton choix : chaque outil de protection sur base de .htaccess nécessite d'installer leur fichier .htaccess et donc il n'est pas possible de les faire cohabiter. C'est l'un ou l'autre.

              En outre, un logiciel de protection .htaccess suffit :-) Si tu veux d'autres protection, il faut varier les domaines. Je pense par exemple à l'excellent plugin de SiteGround : jHackGuard (gratuit)

              Ce plugin ne requiert pas de .htaccess car il analyse l'url en direct. Tu peux donc, ici, cumuler cet outil et un outil .htaccess

              Bonne soirée
              Christophe (cavo789)
              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

              Commentaire


              • #8
                Re : Joomla et la sécurité

                Pour protéger le backend, et depuis la version 3.2, il existe une autre solution, c'est l'authentification à deux facteurs, pour laquelle il existe deux variantes, donc deux plugins en standard, Google Authentificator (gratuit) et Yubikey (payant).
                Pour ma part, j'ai un peu de mal à assimiler Google et sécurité, je me suis donc intéressé à Yubikey. Il s'agit en fait d'une sorte de clé USB émulant un clavier et générant un mot de passe à usage unique (One Time Password), qui rajoute une couche de protection à l'authentification. On peut l'utiliser aussi bien en backend qu'en frontend, mais perso je vois plutot une utilisation en backend.
                On peut également utiliser la même clé pour des tas d'autres usages, et en particulier pour sécuriser une connexion SSH vers un serveur.
                Dernier point la clé coute 36$, port et TVA compris.
                Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
                Confucius

                Commentaire


                • #9
                  Re : Joomla et la sécurité

                  Le fichier htaccess suffisant pour la protection, pour l'administration vous pouvez cacher le lien et faire redirection vers page d'accueil ou bien faire authentification par htaccess et htpassword.


                  Envoyé de mon iPad à l'aide de Forum Joomla.fr

                  Commentaire


                  • #10
                    Re : Joomla et la sécurité

                    Pour sécuriser votre site contre les attaques injection sql, aspiration de site bloque les script tag etc...................
                    sofia

                    Commentaire


                    • #11
                      Re : Joomla et la sécurité

                      Envoyé par sofiazoe Voir le message
                      Pour sécuriser votre site contre les attaques injection sql, aspiration de site bloque les script tag etc...................
                      @Sofia : pourrais-tu s'il te plaît compléter ton idée parce que ta phrase est incomplète... il manque la fin de la phrase; on "imagine" ce que tu veux dire mais "imaginer" n'est pas réellement une réponse :-) Merci.
                      Christophe (cavo789)
                      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                      Commentaire


                      • #12
                        Re : Joomla et la sécurité

                        Bonjour cavo,
                        Je vais compléter moi même l'idée de sofia pour que tout les membres de forum peuvent bénéficier.

                        NB: le symbole # sert pour commenter dans le fichier .htaccess donc toutes les phrases qui commencent par # ignorer par le fichier .htaccess
                        Code:
                        # Bloque sur n'importe quel script essayer de base64_encode données dans l'URL.
                        RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
                        
                        # Bloquer toute script qui inclut une balise <script> dans l'URL.
                        RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
                        
                        # Bloquer n'importe quel script essayer de mettre un GLOBALS variable PHP via l'URL.
                        RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
                        
                        # Bloquer n'importe quel script en essayant de modifier une variable _REQUEST via une URL.
                        RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
                        
                        # Envoi vers la page d’accueil avec une erreur 403 Forbidden
                        RewriteRule .* index.php [F]
                        
                        ## Début protection listage des répertoires de site
                        Options All -Indexes
                        ## Fin listage
                        
                        # Désactiver server signature
                        ServerSignature Off
                        
                        #Sécuriser tous les fichiers qui commencent par .ht comme .htaccess ou htaccess.txt
                        <FilesMatch "^.ht">
                        Order deny,allow
                        Deny from all
                        </FilesMatch>
                        
                        #Protection contre les aspirateur de site
                        
                        RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Bolt\ 0 [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Bot\ mailto:craftbot\@yahoo\.com [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} CazoodleBot [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Custo [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Default\ Browser\ 0 [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^DIIbot [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^DISCo [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} discobot [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^eCatch [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ecxi [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^EmailCollector [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Express\ WebPictures [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^FlashGet [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^GetRight [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^GrabNet [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Grafula [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} GT::WWW [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} heritrix [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^HMView [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} HTTP::Lite [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ia_archiver [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} IDBot [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} id-search [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} id-search\.org [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Image\ Stripper [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Image\ Sucker [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^InterGET [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^InternetSeer\.com [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} IRLbot [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ISC\ Systems\ iRc\ Search\ 2\.1 [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Java [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^JetCar [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^larbin [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} libwww [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} libwww-perl [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Link [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} LinksManager.com_bot [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} linkwalker [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} lwp-trivial [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Mass\ Downloader [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Maxthon$ [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} MFC_Tear_Sample [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^microsoft\.url [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} Microsoft\ URL\ Control [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^MIDown\ tool [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Mister\ PiX [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} Missigua\ Locator [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Mozilla\.*Indy [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Mozilla\.*NEWT [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^MSFrontPage [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Navroad [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^NearSite [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^NetAnts [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^NetSpider [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^NetZIP [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Nutch [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Octopus [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Offline\ Explorer [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Offline\ Navigator [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} panscient.com [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Papa\ Foto [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^pavuk [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} PECL::HTTP [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^PeoplePal [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} PHPCrawl [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} PleaseCrawl [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^psbot [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^RealDownload [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^ReGet [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Rippers\ 0 [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} SBIder [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^SeaMonkey$ [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^sitecheck\.internetseer\.com [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} Snoopy [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} Steeler [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^SuperBot [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Surfbot [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Toata\ dragostea\ mea\ pentru\ diavola [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} URI::Fetch [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} urllib [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} User-Agent [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} Web\ Sucker [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} webalta [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WebAuto [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^[Ww]eb[Bb]andit [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} WebCollage [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WebCopier [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WebFetch [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WebReaper [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WebSauger [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Website\ eXtractor [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Website\ Quester [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WebStripper [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WebZIP [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} Wells\ Search\ II [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} WEP\ Search [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Wget [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Widow [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WWW-Mechanize [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} zermelo [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Zeus [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ^Zeus\.*Webster [NC,OR]
                        RewriteCond %{HTTP_USER_AGENT} ZyBorg [NC]
                        RewriteRule ^.* - [F,L]
                        
                        #Fin de la list

                        Attention: Une mauvaise utilisation de .htaccess pourra engendrer le blocage de votre site. Merci de les utiliser avec modération!
                        Dernière édition par opware2000 à 27/01/2014, 13h42

                        Commentaire


                        • #13
                          Re : Joomla et la sécurité

                          Merci à tous pour vos réponses

                          Commentaire

                          Annonce

                          Réduire
                          Aucune annonce pour le moment.

                          Partenaire de l'association

                          Réduire

                          Hébergeur Web PlanetHoster
                          Travaille ...
                          X