Protection du dossier administrator = 404

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Protection du dossier administrator = 404

    Bonjour,
    Je suis toujours dans ma migration OVH > 02Switch qui se passe assez bien.
    Néanmoins, encore quelques petits soucis à régler.

    J'ai toujours protégé mon dossier administrator par .htaccess + .htpasswd et cela a toujours fonctionné.
    La même protection chez mon nouvel hébergeur provoque une erreur 404 lors de la connexion à l'administration du site.
    J'ai posé la question au support mais la réponse me semble légère pour le moment, j'espère qu'ils vont approfondir.

    Malheureusement, vous avez cela car vous bloquez l'accès à l'espace d'administration de votre site. De ce fait, il ne peut pas réaliser l'appel à la page et vous renvoie sur une 404. Le système de blocage par htaccess est utile pour protéger le répertoire global où est votre site dans le cas d'un site de dev par exemple si vous ne souhaitez pas que celui-ci soit accessible au public. Cependant, en bloquant uniquement le dossier d'administration de votre site, vous bloquez le bon fonctionnement du CMS directement.
    En fait, le fichier .htaccess contient le texte suivant :

    Code HTML:
    AuthUserFile "/home/graphiquedes/public_html/administrator/.htpasswd"
    AuthName "Restricted Area"
    AuthType Basic
    require valid-user
    RewriteEngine On
    RewriteRule \.htpasswd$ - [F,L]
    À part la chaine de localisation, je ne vois pas ce qui pourrait provoquer une erreur 404.
    Qu'en pensez-vous ?

    Merci !
    Dernière édition par GraphiqueDesign à 17/06/2018, 23h19
    "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
    https://www.graphiquedesign-bf.com/

  • #2
    Effectivement, ce type de protection est un des moyens classiques de sécuriser l'accès à l'administration et ne perturbe en rien le fonctionnement de Joomla!
    Maintenant, je ne sais pas comment vous l'avez activé ? Souvent les hébergeurs ont une fonction "dossier protégé" et c'est par là qu'il faut/vaut mieux passer pour protégé un dossier, plutôt que directement ajouter le .htaccess ou passer par une extension comme AdminTools par exemple.
    Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
    Administrateur certifié Joomla! 3
    https://www.betterweb.fr/services

    Commentaire


    • #3
      Envoyé par jfque Voir le message
      Effectivement, ce type de protection est un des moyens classiques de sécuriser l'accès à l'administration et ne perturbe en rien le fonctionnement de Joomla!
      Maintenant, je ne sais pas comment vous l'avez activé ? Souvent les hébergeurs ont une fonction "dossier protégé" et c'est par là qu'il faut/vaut mieux passer pour protégé un dossier, plutôt que directement ajouter le .htaccess ou passer par une extension comme AdminTools par exemple.
      Et je confirme qu'O2Switch propose ce type de protection depuis le cPanel. Cependant, je l'ai testé et bizarrement, lorsque je protège un répertoire et que je tente d'accéder à son contenu, je n'obtiens pas la demande des accès, mais une erreur 404.

      Vais demander à O2 le comment du pourquoi.
      Dernière édition par Eddy.vh à 30/05/2018, 13h20
      Cordialement.
      __
      Eddy !!!
      Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

      Commentaire


      • #4
        Idem ici, toujours une erreur 404 sur le dossier administrator !
        Cette fois en passant par la fonction "confidentialité du répertoire" de l'hébergeur.
        "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
        https://www.graphiquedesign-bf.com/

        Commentaire


        • #5
          Voilà la réponse du support o2Switch :

          Bonjour,

          Le problème vient du fichier .htaccess situé au dessus de votre dossier prive qui annule alors les effets du fichier .htaccess que vous avez placé en dessous.

          Il est alors préférable d'utiliser un sous-domaine dans ce cas ce qui vous permettra d'être dans un répertoire indépendant du domaine actuel et de ne pas être soumis à la restriction de ce fichier .htaccess.

          Cordialement,
          XXXXXX.

          J'imagine qu'il faudra voir du côté d'aesecure ?
          Cordialement.
          __
          Eddy !!!
          Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

          Commentaire


          • #6
            Bonjour

            À essayer

            RewriteEngine On
            RewriteOptions Inherit

            Inherit, s'il est supporté par l'hébergeur permet de stopper l'héritage des règles htaccess des dossiers parents.

            Cela vaut la peine de tester...

            Bonne soirée
            Christophe (cavo789)
            Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
            Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

            Commentaire


            • #7
              Pas tout à fait le même son de cloche chez moi où à présent ça semble fonctionner

              Actuellement, le problème vient du fichier .htaccess supérieur qui prend le relais dès qu'une erreur 401 ou 403 est présente.

              J'ai alors corrigé le fichier .htaccess en rajoutant ces deux lignes :

              ErrorDocument 401 "401"
              ErrorDocument 403 "403"
              Bon, je ne suis pas encore au bureau et ne peux pas vérifier ni voir quel fichier .htaccess a été modifié. Mais ce que je vois sur la tablette, c'est que ça ne fait plus de 404 !
              "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
              https://www.graphiquedesign-bf.com/

              Commentaire


              • #8
                Bonsoir,
                a quoi te servent les deux dernières lignes ?
                RewriteEngine On
                RewriteRule \.htpasswd$ - [F,L]

                je ne suis pas un spécialiste apache mais essaie peut etre ça

                AuthName "Page d'administration protégée"
                AuthType Basic
                AuthUserFile "/home/xxx/xxx/xxx/.htpasswd"
                Require valid-user
                Dernière édition par manu93fr à 31/05/2018, 09h59
                “Un message d’erreur sur votre site Joomla ... ayez le reflexe de consulter le nouveau service (en Beta) de la base de connaissance https://kb.joomla.fr

                Commentaire


                • #9
                  Salut Manu

                  Envoyé par manu93fr Voir le message
                  Bonsoir,
                  a quoi te servent les deux dernières lignes ?
                  RewriteEngine On
                  RewriteRule \.htpasswd$ - [F,L]
                  Le RewriteRule va nterdire l'accès en url au fichier .htpasswd. C'est une bonne chose mais un peu inutile dans /administrator car en principe, sur un site sécurisé, le .htaccess du dossier racine interdit l'accès à tout qui commence par un point. C'est donc superflu dans l'admin.
                  Dernière édition par manu93fr à 31/05/2018, 09h59
                  Christophe (cavo789)
                  Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                  Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                  Commentaire


                  • #10
                    Envoyé par cavo789 Voir le message
                    Bonjour

                    À essayer

                    RewriteEngine On
                    RewriteOptions Inherit

                    Inherit, s'il est supporté par l'hébergeur permet de stopper l'héritage des règles htaccess des dossiers parents.

                    Cela vaut la peine de tester...

                    Bonne soirée
                    Bonjour Christophe,

                    Malheureusement, il me retourne toujours l'erreur 404.

                    Bizarrement, si je désactive aesecure, l'erreur 404 continue d'être retournée…
                    C'est très étrange non ?

                    Ce qui me surprends encore plus, j'ai supprimé la protection activée depuis o2Switch et mis en place une protection depuis aesecure, je devrais alors être certain de la compatibilité entre la protection et le fichier .htaccess d'aesecure…

                    j'ai toujours le 404…
                    Dernière édition par Eddy.vh à 31/05/2018, 12h24
                    Cordialement.
                    __
                    Eddy !!!
                    Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                    Commentaire


                    • #11
                      Salut Eddy

                      Donc http tonsite/administrator/index.php retourne une 404 alors que le fichier index existe et cela avec ou sans .htaccess à la racine du site ? Ai-je bien compris ? (cela me paraît invraisemblable)
                      Si la réponse est oui, est-ce que le fait de créer un fichier bidon (test.txt) avec un petit "Coucou" dans /administrator, est-ce que tu accèdes au fichier ?
                      Si oui, très étrange (à investiguer)
                      Si pas, est-ce que le nom de domaine pointe sur le bon FTP ?

                      Christophe (cavo789)
                      Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                      Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                      Commentaire


                      • #12
                        Envoyé par Eddy.vh Voir le message

                        Malheureusement, il me retourne toujours l'erreur 404.
                        Bonjour Eddy,
                        Remets la protection de 02Switch et ajoute à ton fichier .htaccess qui est dans le dossier Administrator, ces 2 lignes :

                        Code:
                        ErrorDocument 401 "401"
                        ErrorDocument 403 "403"
                        "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                        https://www.graphiquedesign-bf.com/

                        Commentaire


                        • #13
                          Envoyé par manu93fr Voir le message
                          Bonsoir,
                          a quoi te servent les deux dernières lignes ?
                          RewriteEngine On
                          RewriteRule \.htpasswd$ - [F,L]
                          Bonjour Manu,
                          En fait, ce sont les instructions que fournit Akeeba Admintools !

                          "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                          https://www.graphiquedesign-bf.com/

                          Commentaire


                          • #14
                            Bonjour.

                            @Christophe.
                            J'ai testé la protection sur un répertoire créé pour ce test. J'y ai place un fichier .pdf.
                            La 404 se présente lorsque j'appelle ce fichier voir un index.html de ce répertoire.

                            Le htaccess a la racine est toujours présent mais j'ai désactivé aesecure pour m'assurer qu'il ne soit pas en cause.

                            @GD.
                            Je vais tester ça aujourd'hui.
                            Dernière édition par Eddy.vh à 01/06/2018, 07h13
                            Cordialement.
                            __
                            Eddy !!!
                            Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                            Commentaire


                            • #15
                              Envoyé par GraphiqueDesign Voir le message

                              Bonjour Eddy,
                              Remets la protection de 02Switch et ajoute à ton fichier .htaccess qui est dans le dossier Administrator, ces 2 lignes :

                              Code:
                              ErrorDocument 401 "401"
                              ErrorDocument 403 "403"
                              GD.

                              J'ai ajouté ces lignes et j'obtiens bien la demande d'authentification.
                              J'ai même testé uniquement la première ligne, elle suffit apparemment.

                              Merci pour l'astuce.
                              Cordialement.
                              __
                              Eddy !!!
                              Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X