Quel système pour renforcer la sécurité de son site Joomla ?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Quel système pour renforcer la sécurité de son site Joomla ?

    Bonjour à tous,

    Jusqu'à présent, j'ai utilisé les services aeSecure, mais visiblement l'entreprise a disparue (site plus trouvable en 404, email support qui n'existe plus...).

    Du coup, je cherche un autre système permettant de sécuriser d'une manière globale un site Joomla.

    Qu'est-ce que vous utilisez ?

    Est-ce que Security Check Pro est une bonne pioche - https://extensions.joomla.org/extens...ritycheck-pro/ ?

    Ou l'extension Akeeba Admin Tools que j'utilise déjà pour faire des backups et qui propose aussi de la sécu si j'ai bien compris https://extensions.joomla.org/extens...-professional/ ?

    Oui bien quelque chose d'extérieur pour déléguer (comme fait auprès d'aeSecure, car mes connaissances sont limitées) comme https://www.siteguarding.com/en/protect-your-website ?

    Merci d'avance pour votre feedback
    Dernière édition par Joopas à 13/10/2020, 15h23

  • #2
    Bonjour

    En effet, aeSecure est terminé, ce fût une belle aventure.

    Tu peux te fier Akeeba Admin Tools sans la moindre hésitation si ton ambition est d'avoir un outil, installé sur ton site, pour y gérer la sécurité.

    Bonne journée.
    Christophe (cavo789)
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
    Mes logiciels OpenSource : https://www.avonture.be

    Commentaire


    • #3
      Bonjour Christophe,

      Merci pour ta réponse (en plus de celle par e-mail si j'ai bien compris ;-)

      Une belle aventure, oui certainement, mais pas pour tous. Client, j'avais un abo aeSecure INSTALL+ (130 euros de mémoire) qui devait prendre fin 2 ans après l'achat (également de mémoire, soit jusqu'à janvier prochain). Dommage de ne pas avoir pris le temps d'informer les clients de cette fermeture... surtout si plus de mise à jour, et plus de services (donc de protection ?) vu que le site a disparu...

      Bref, merci pour ton conseil d'orienter mon choix vers Akeeba Admin Tools.

      Que faire des modifications réalisées par aeSecure notamment dans le .htaccess ? Est-ce que je supprime tout pour repartir sur un .htaccess par défaut ?
      Dernière édition par Joopas à 13/10/2020, 16h40

      Commentaire


      • #4
        Salut

        Tu as raison, excuse-moi : c'était une belle aventure pour moi mais pas partagée par ceux qui ont eu à souffrir de l'abandon dans le chef du repreneur. Si ce n'est pas déjà fait, je te suggère de prendre connaissance du sujet suivant pour te faire une idée de la conclusion de ma "belle aventure", conclusion pénible pour tous; moi y compris : https://forum.joomla.fr/forum/joomla...coup-de-gueule.

        Fin 2018, j'ai donné mon logiciel, mon site, ma base de données clients, ... à un repreneur. A lui à continuer à supporter les clients existants à cette date et à vendre les logiciels et les prestations et à en percevoir le fruit. Fin 2018, tout était dans ses mains; plus les miennes.

        Tu mentionnes avoir pris un abonnement au 23 janvier 2019 (ton post https://forum.joomla.fr/forum/joomla...33#post2021233). Je te remercie d'avoir retrouvé cette date : je n'étais plus aux commandes; le contrat que tu as passé l'était avec ce reprenneur.

        aeSecure étant le logiciel que j'ai développé; je puis te garantir ceci : je l'ai développé en PHP 7 (et cette version a encore de belles années devant elle (https://www.php.net/supported-versions.php)). Le logiciel n'a aucune "date de fin" : tu as acheté un logiciel fonctionnel et il le restera; même si tu n'as plus la possibilité d'en télécharger de nouvelles versions (le développement étant terminé; il n'y aura pas de nouvelles versions). Toutes les fonctionnalités qui s'y trouvent restent actives sur ton site; il n'y a pas de péremption.

        Toutefois, tu as aussi raison, tu avais également acquis un support (deux ans donc) jusqu'à fin janvier 2021. Il ne m'appartient pas de me prononcer à ce sujet; il faudrait voir avec la personne qui a perçu ton argent pour ce service et qui est donc contractuellement lié avec toi.

        Sur ton précédent post tu écrivais "Ce qui veut dire que j'ai payé pour combien de semaines seulement en fait ? L'entreprise est fermée depuis quand exactement ?". Je puis dire ceci : j'ai reçu la propriété du nom de domaine de retour (pas le site !) aux alentours de Juin 2020 et j'ai cassé la redirection DNS (je ne me suis pas pris la tête, j'ai fait une redirection DNS vers google). Entre fin 2018 et cette date-là (juin 2020), le site était géré par le repreneur. Le site a disparu depuis.

        Voilà, cela ne t'avance pas beaucoup je le crains mais peut-être aurais-je pu te rassurer au moins sur la non obsolescence du logiciel.
        Dernière édition par cavo789 à 13/10/2020, 17h50
        Christophe (cavo789)
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
        Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
        Mes logiciels OpenSource : https://www.avonture.be

        Commentaire


        • #5
          Salut Christophe,

          Merci pour ces précisions.

          J'avais bien compris que tu n'es pas le responsable, et qu'il s'agit de Simon, c'est pourquoi je l'ai contacté sur son site encore en ligne.

          J'ai bien compris également que ton logiciel reste efficace. Le fait est qu'il n'y a rien d'installé sur mon site, rien dans les composants, etc. (à part le .htaccess par exemple créé par le service payé).

          D'où mon doute sur la protection vendue, sans parler bien sûr du support et des mise à jour, ni du fait de partir en laissant les clients en plan sans prévenir (ni proposer de remboursement vu que le contrat est rompu)... Cela n'est pas de ton ressort, cela aussi je l'ai intégré, et te remercie encore pour ces précisions.
          cavo789 aime ceci.

          Commentaire


          • #6
            Le logiciel est sauvé dans le dossier aesecure qui se trouve à la racine de ton site.
            Christophe (cavo789)
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
            Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
            Mes logiciels OpenSource : https://www.avonture.be

            Commentaire


            • #7
              Ci-dessous une doc que j'avais écrite... Elle te sera peut-être utile...

              https://web.archive.org/web/20150920...ncorrecte.html
              Christophe (cavo789)
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
              Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
              Mes logiciels OpenSource : https://www.avonture.be

              Commentaire


              • #8
                Merci beaucoup Christophe pour ces nouvelles précisions. Tout cela doit être bien pesant pour toi...

                Donc pour résumer, si je peux encore abuser de votre temps, je dois supprimer le dossier à la racine, changer le .htaccess (je vais bien trouver le .htaccess de Joomla par défaut quelque part), puis installer Akeeba Admin Tools puisque cet outils sera mis à jour contrairement à aeSecure.

                Bonne stratégie d'après toi ?
                Dernière édition par Joopas à 13/10/2020, 20h12

                Commentaire


                • #9
                  En procédant de la sorte tu désactives et désinstalled aeSecure donc oui en effet.

                  Gardes quand même un backup de ton htacces au cas où.
                  Christophe (cavo789)
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                  Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                  Mes logiciels OpenSource : https://www.avonture.be

                  Commentaire


                  • #10
                    Ok, merci

                    Commentaire


                    • #11
                      Bonsoir,
                      J'ai utilisé https://extensions.joomla.org/extens...ritycheck-pro/ pendant 2 ans.
                      Le dev' est super réactif et son produit est certainement très bon si ... il n'y a pas de membres enregistrés!
                      Je crée/utilises des sites communautaires ou les membres publient du contenu en front-end
                      J'ai du le désactiver car malgré son aide, j'ai souvent vu des membres bloqués. J'ai essayé d'alléger les règles très stricts sur le contenu publié dans l'éditeur tiny
                      Si d'autres ont un avis convergent cela m'intéresse pour savoir si j'y revines avec joomla 4
                      Je testerai admin tools sur ces mêmes sites pour savoir s'il est moins stricts ?
                      Portage finalisé de wp vers joomla autour du libre (logiciels, services ...)
                      https://www.clibre.eu/fr/

                      Commentaire


                      • #12
                        Ça dépend ce que vous appelez par "strict" : quelles étaient les raisons des blocages ? Si ce sont des mots de passe erronés à répétition, aucun composant de sécurité ne sera "moins strict" puisque c'est l'une de leurs principales fonctions.
                        Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
                        Administrateur certifié Joomla! 3
                        https://www.betterweb.fr

                        Commentaire


                        • #13
                          Salut herve

                          Cela ne règlera pas ton problème avec ton composant actuel, mais j'apporte ma modeste contribution à ton fil pour te signaler que j'utilise Admintools depuis des années sur pratiquement tous mes sites clients, et j'en suis très satisfait.

                          Dol.
                          Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.
                          Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
                          Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

                          Commentaire


                          • #14
                            Bonjour
                            Envoyé par jfque Voir le message
                            Ça dépend ce que vous appelez par "strict" : quelles étaient les raisons des blocages ? Si ce sont des mots de passe erronés à répétition, aucun composant de sécurité ne sera "moins strict" puisque c'est l'une de leurs principales fonctions.
                            Je crée des sites communautaire/collaboratifs. Les membres copient/collent du contenu en html dans l'éditeur avec un rôle auteur. Logique et normal car sinon il n’utiliseront plus le site. Il serait nécessaire d'assainir le code envoyé en acceptant la plupart des balises html. Ce composant n'est pas assez sophistiqué pour comprendre que des membres se connectent normalement peuvent être autorisés à faire cela. Il a été très fréquent qu'il bloquent la publication de contenu.
                            Je vais essayer admintools. C'était juste pour dire que la protection d'un site communautaire est plus compliqué d'un site ou il y juste 1 ou 2 auteurs d'articles qui font l'ajout/maj via le back office
                            Portage finalisé de wp vers joomla autour du libre (logiciels, services ...)
                            https://www.clibre.eu/fr/

                            Commentaire


                            • #15
                              Bonjour,

                              Dans l'hebergement que je propose, j'agis plus au niveau du serveur avec des solutions firewall et antispam. Le serveur filtre notamment les tentatives d'insertion de code via l'url, les formulaires, les brute force et geolocalisation...

                              Certains clients "indisciplinés" diffusent leur mail publiquement donc difficile de protéger uniquement à travers le site. J'agis donc avec la messagerie avec un filtre (avec une intelligence artificielle) qui analyse les mails reçus, apprend à distinguer le type de mail et se connecte avec les bases antispam. On associe également les efforts d'optimisation à la sécurité, cela permet d'économiser de la ressource et augmenter la rapidité de chargement.

                              Donc pas d'extensions ou de modification du htaccess car géré par le serveur. Evidemment, on tient compte du RGPD et de la relation hebergeur / client.

                              Cependant les défauts existent, ce n'est pas non plus insurmontable surtout quand on le sait. Par exemple, si une personne change le mot de passe de sa messagerie, elle pourra se retrouver blacklisté si elle oublie de modifier le code dans son smartphone qui après plusieurs tentatives va bloquer l'ip wifi de connexion (dans le cas où l'adresse ip n'est pas en liste blanche). Le système est prévu pour durée limité mais on peut être surpris par le fait de ne plus pouvoir voir le site, envoyer ou recevoir des mails à l'adresse wifi de connexion (desktop et smartphone).

                              Il existe bon nombre de solutions serveurs, certains sont adaptés à Joomla notamment le panneau plesk qui propose quelques fonctionnalités spécifiques développés par viktor vogel ( https://www.plesk.com/joomla-toolkit/ )

                              Je sais que cela demande un peu de connaissance mais c'était important de faire le feedback sur ce type de solution.
                              Dernière édition par daneel à 17/10/2020, 00h20
                              herve aime ceci.
                              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X