Extensions, conseils pour protection anti hack ?

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Extensions, conseils pour protection anti hack ?

    Bonjour,


    j’ai un site en cours de développement qui s’est fait hacker…
    :-(

    Je vais :
    - changer les login/password FTP
    - remplacer le site en ligne par une ancienne sécu locale
    - changer les login/password database
    - effacer et remplacer la base de données en ligne par une sécu clean

    J’aimerais vos conseils sur les extensions que vous utilisez pour protéger vos sites…


    Merci !
    Paul

  • #2
    L'accès à l'administration, était il suffisant ? Gros mot de passe ? .htaccess dans administrator ? Il serait quand même intéressant de comprendre comment le site s'est fait hacker !
    "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
    https://www.graphiquedesign-bf.com/

    Commentaire


    • #3
      Envoyé par GraphiqueDesign Voir le message
      .htaccess dans administrator ? Il serait quand même intéressant de comprendre comment le site s'est fait hacker !
      Je n'ai pas d'.htaccess dans l'administrator...
      Qu'inscrit-on dans le fichier ?

      Oui je cherche aussi à comprendre par où ils sont passés, mais je bloque pour l'instant...

      Commentaire


      • #4
        Bonjour,

        en plus d'identifiants et mot de pass solides, il est aussi possible d'installer aeSecure qui est gratuit dans ses fonctionnalités de sécurisation :
        https://www.aesecure.com
        Mister Paul likes this.
        Le JoomlaDay 2019 c'est le 8 et 9 mars #jd19fr (plus d'infos)

        Pour apprendre à construire votre site web avec Joomla 3 : Joomla3! Le Livre Pour Tous : http://cinnk.com/joomla/3/le-livre-pour-tous

        Envie de lire sur Joomla!, mais pas que ? Cinnk magazine http://cinnk.com/magazine

        Créez votre boutique en ligne avec Joomla! & HikaShop http://cinnk.com/boutique/livres/cre...la-et-hikashop

        Commentaire


        • #5
          Merci pour le conseil de aesecure.
          OK pour le .htaccess
          Par contre je ne suis pas sûr que sur un mutualisé OVH le php.ini créé par aesecure soit pris en charge...
          Dernière édition par Mister Paul à 20/11/2018, 15h43

          Commentaire


          • #6
            Pas de problème en mutualisé chez OVH avec aeSecure.
            Si le php.ini est ignoré, ce qui est possible, il reste la protection par les .htaccess
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

            Commentaire


            • #7
              S'il n'y a que le .htaccess, la protection est moindre j'imagine...
              Et du coup il ne faudrait pas que ça soit redondant avec d'autres extensions que je prendrai pour compléter et qui peut-être gèrent aussi le .htaccess... (je crains des conflits possibles)
              Dernière édition par Mister Paul à 20/11/2018, 16h39

              Commentaire


              • #8
                Le contenu du php.ini ne te protègera pas plus que le .htaccess, à mon avis (mais Christophe nous en dira plus s'il passe par ici).
                Exemple sur un de mes sites perso :
                display_errors=off
                error_reporting=0
                zlib.output_compression=off
                zlib.output_compression_level=0
                Je ne vois personnellement pas l'intérêt de multiplier les systèmes de protection lorsque j'utilise aeSecure, en dehors d'un bon captcha pour protéger les formulaires.
                Mister Paul likes this.
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

                Commentaire


                • #9
                  Bonsoir

                  Le fichier php.ini qui est généré (ou complété) par aeSecure reprends des instructions qui sont, également, mises dans le .htaccess comme la désactivation du rapport des erreurs ou l'activation de la compression logicielle. À ce titre, le fichier php.ini d'aeSecure est ... inutile mais, à l'époque, j'avais opté pour "Prévoyons le coup et peut-être tel ou tel hébergeur "exotique" ne gérérait pas l'instruction .htaccess aussi j'assure et je mets aussi dans php.ini".

                  En réalité, il s'avère que je ne connais aucun hébergeur qui ne gère pas les options du fichier .htaccess telles que mentionnées (gestionnaire des erreurs, compression, ...) et donc, si elles sont dans .htaccess, il n'est pas utile d'aussi les mettre dans php.ini.

                  En clair : les lignes ajoutées par aeSecure dans le fichier php.ini sont en doublons par rapport .htaccess.

                  Bonne soirée
                  Mister Paul likes this.
                  Christophe (cavo789)
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                  Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                  Mes logiciels OpenSource : https://www.avonture.be
                  Les 8 et 9 mars prochain ? J'peux pas, j'ai JoomlaDay 2019 #jd19fr (plus d'infos)

                  Commentaire


                  • #10
                    Désolé de ma réponse tardive mais j'ai des petits soucis ces derniers jours...
                    ____________________


                    Merci à vous pour vos recommandations.Et Merci à Christophe d'avoir pris le temps de se pencher sur mon petit souci.

                    Donc si je résume :
                    - aesecure
                    - capcha sur formulaires
                    - mot de passe admin costauds


                    et j'ajouterais peut-être (avec votre consentement ?) :
                    - Brute Force Stop pour border les admins qui ne respecteraient pas la consigne des mots de passe costauds...


                    Avec ça pas de souci ? Paul

                    Commentaire


                    • #11
                      Bonjour,
                      Personne ne pourra répondre "pas de souci" ! Respecter les règles comme celles-ci s'accompagnent également de diverses choses :
                      - sauvegarder son site périodiquement (de manière optimale tous les jours) et garder les backups de manière déportée (pas sur le même serveur que le site) en les testant également de temps en temps pour vérifier qu'elles fonctionnent,
                      - procéder aux mises à jour de son site
                      - vérifier que personne n'intègre du code "exotique" au site dans les pages sauf si le code est "garanti",
                      etc...

                      Ce ne sont que les bases et même avec cela, il peut toujours y avoir un "souci" un jour

                      Cordialement,
                      Chabi01 - http://www.xlformation.com

                      Commentaire

                      Annonce

                      Réduire
                      1 sur 2 < >

                      C'est [Réglé] et on n'en parle plus ?

                      A quoi ça sert ?
                      La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                      Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                      Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                      Comment ajouter la mention [Réglé] à votre discussion ?
                      1 - Aller sur votre discussion et éditer votre premier message :


                      2 - Cliquer sur la liste déroulante Préfixe.

                      3 - Choisir le préfixe [Réglé].


                      4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                      2 sur 2 < >

                      Assistance au forum - Outil de publication d'infos de votre site

                      Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                      Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                      Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                      UTILISER À VOS PROPRES RISQUES :
                      L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                      Problèmes connus :
                      FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                      Installation :

                      1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                      Archive zip : https://github.com/AFUJ/FPA/zipball/master

                      2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                      3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                      4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                      5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                      6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                      et remplacer www. votresite .com par votre nom de domaine


                      Exemples:
                      Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/
                      Pour executer le script: http://www..com/fpa-fr.php

                      Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/cms/
                      Pour executer le script: http://www..com/cms/fpa-fr.php

                      En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                      Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                      Voir plus
                      Voir moins
                      Travaille ...
                      X