Quel système pour renforcer la sécurité de son site Joomla ?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • #16
    Bonsoir
    Bien vu d'externaliser au niveau du serveur. Je verrai avec l'hébergeur PH s'il veut bien rajouter ce module
    Aidez-nous à faciliter l'adoption du libre par le grand public
    https://www.clibre.eu/fr/

    Commentaire


    • #17
      Bonjour,

      J'ai installé Akeeba Admin Tools et depuis je n'arrive plus à télécharger les fichiers PDF placés en lien dans un article.

      J'ai un message 403 Forbidden : You don't have permission to access this resource.

      J'ai regardé dans le .htaccess (créé par Akeeba) mais ne trouve rien.

      J'ai regardé Akeeba - Tools - Permissions Configuration pour changer la permission PDF de 755 vers 777 par exemple mais cela n'est pas aidant.

      Une idée de mon erreur ?
      Dernière édition par Joopas à 25/10/2020, 14h34

      Commentaire


      • #18
        Envoyé par Joopas Voir le message
        Bonjour,

        J'ai installé Akeeba Admin Tools et depuis je n'arrive plus à télécharger les fichiers PDF placés en lien dans un article.

        Une idée de mon erreur ?
        Bonjour,

        On s'ecarte du sujet qui était de connaître les systèmes pour renforcer la sécurité de son site Joomla.

        Pour répondre toutefois à la question, admin tools autorise le téléchargement à partir des repertoires images ou media.
        Si vos PDF sont stockés dans un autre repertoire, il faudra l'ajouter dans le htaccess maker d'admin tools.
        Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

        Commentaire


        • #19
          On s'écarte oui et non, car il s'agit aussi d'expérimenter au quotidien l'outils et de voir s'il est facile de trouver des solutions ;-)

          Pour celui qui aurait le même problème, j'ai trouvé comment faire.

          Aller dans le .htaccess Maker, dans "Allow direct access, except .php files, to these directories", ajouter le dossier créé à la racine (par exemple pdf sans /).

          D'une manière plus globale, le système semble compliqué à installer (lorsque l'on découvre la doc, puis l'outils), mais ce n'est pas le cas. De plus, le support est réactif, donc pour l'instant bonne pioche !
          Dernière édition par Joopas à 26/10/2020, 10h55

          Commentaire


          • #20
            C'est un point de vue, ok pas de soucis, on continue !



            Globalement, le tout étant de savoir si on sécurise coté serveur ou coté via une extension joomla.
            De mon avis, c'est un peu des deux et plus encore !

            Pour admin tools, il est très bien réalisé mais ne couvre qu'une partie.

            L'hébergeur a par exemple des responsabilités. C'est pour cela que certains sont capables de bloquer votre site et votre messagerie sans avertissement car leur script a detecté un envoi massif de spam généré depuis votre domaine.

            Important : J'ai rappelé à toutes fins utiles que l'option de copie du contenu du formulaire de contact ne devait pas être activé car cette option est généralement détourné pour transformer votre site en machine à spam : https://forum.joomla.fr/forum/ressou...-votre-adresse

            Alternativement, les meilleurs hébergeurs sont beaucoup plus prévenant en mettant en place des solutions.

            Exemple :
            - mod_security : https://www.modsecurity.org/
            - patchman : https://www.patchman.co/
            ...

            Patchman est un service externe que votre hebergeur peut souscrire pour detecter les failles et les mises à jour qui n'ont pas été réalisés (par exemple, une mise à jour de joomla).
            En attendant votre intervention, le système vous avertit préalablement par mail et effectue un correctif temporaire qui sera supprimé quand vous aurez effectué la mises à jour.
            Tous les sites que j'héberge dispose de ce service et pour en avoir vu l'efficacité, j'en suis pleinement satisfait.

            De son coté, le concepteur et administrateur du site (c'est à dire vous!) devraient :
            - sécuriser les formulaires (authentification, contact...)...
            - appliquer un certificat de sécurité sur ces pages (https) et rediriger sur ces pages sécurisés
            - respecter le consentement (RGPD) via une politique de confidentialité intégrant également la gestion des cookies
            - mettre en place une politique de sécurité (CSP) , ajouter des entêtes de sécurité notamment avec httpheader ( traduit en français ) : https://extensions.joomla.org/extension/httpheader/
            ... et d'autres points comme suivre et appliquer toutes les mises à jour nécessaires !

            Vous avez déjà testé votre site sous https://securityheaders.com/ ? Si vous avez un F, vous devez vous poser les bonnes questions !

            Alternativement, un système comme cloudflare offre bien plus qu'un cdn mais également des moyens de sécuriser un peu plus votre site.
            Cela peut se révéler judicieux surtout si l'hebergement ne possède pas d'offres suffisantes.

            Si cela vous intéresse, on pourra prochainement mettre en place une session virtuelle sur le sujet de la sécurité avec des sites sous Joomla 3 mais également Joomla 4. Et prolongez le tout lors du prochain joomladay.



            Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

            Commentaire


            • #21
              Bon, si je comprends bien il ne faut pas se limiter à la protection de l'hébergeur et à un outils comme Akeeba Admin Tools (ou avant comme aeSecure) mais empiler les couches de protection (en ajoutant en plus des plugins comme httpheader).

              Si la complémentarité semble intéressante pour son efficacité, le risque de s'embrouiller dans l'utilisation de différents outils (pour un non-expert que je suis) est bien présent... sans parler d'un possible conflit entre les outils dont le réglage fin a déjà été un problème pour les permissions par exemple.

              Commentaire


              • #22
                Effectivement, cela peut s'embrouiller pour les non-initiés mais face pléthore d'outils, on peut s'organiser en les classant tout simplement.
                C'est le but justement d'en apprendre un peu plus et d'avoir les infos suffisantes pour se débrouiller.

                On peut s'en sortir en établissant une checklist et en dosant les mesures appropriés à une bonne sécurisation du site.
                De plus, ce serait dommage de se priver de ce qui existe, non ?

                Et si on parle de complémentarité, on peut aussi faire le rapprochement par rapport à la performance, certains outils travaillent sur les deux tableaux.

                Je n'ai aucun problème à évoquer chaque outil dans la mesure de ce que je connais. C'était surtout pour répondre à ta question.

                Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                Commentaire


                • #23
                  Bonjour,

                  Je reviens sur l'utilisation d'un plugin complémentaire comme httpheader qui ajoute une couche supplémentaire de protection, mais en risquant de créer des complications avec d'autres systèmes comme Admin Tools d'Akeeba par exemple.

                  J'ai posé la question sur le forum d'Akeeba et la réponse indique - si j'ai bien compris - qu'il n'est pas utile, voire qu'il n'est pas recommandé d'ajouter ce plugin (présent dans Joomla 4), car il est possible de le faire manuellement (sur certains headers) via Admin Tools.

                  J'ai l'impression qu'Admin Tools propose une protection vraiment globale, reste juste à activer (manuellement) les bonnes options... (à faire avec un spécialiste à mon avis...).

                  La réponse (en anglais ci-dessous) semble complète, très (trop) technique (pour moi). Qu'en pensez-vous ?



                  The four headers that the plugin says it provides default for, Admin Tools' .htaccess / NginX Configuration / web.config Maker is better at managing them. It's the same headers, it's just that using a server configuration file applies them on all requests, not just those going through Joomla. This is especially important for HSTS and CORS headers.

                  Regarding the other headers, I maintain that it's best that you set them up manually, in your server configuration file (.htaccess, web.config or NginX's configuration) than using a plugin for two reasons:
                  1. Using a plugin only applies them on requests going through Joomla but not any arbitrary .php scripts, static HTML pages or CSS, JS and other files when accessed directly over the web. This includes SVG files which can be problematic for security (note that Admin Tools provides an option to neuter them).
                  2. Defining, for example, which HTML5 capabilities are required on your site necessitates going through your site with a fine comb and mapping the URLs where each capability is used. You then need to construct a header with rules corresponding to the URLs which need those capabilities. Similar considerations apply for all other headers the plugin mentions. At this point constructing the header is the easiest part. The plugin doesn't help you with anything.
                  For Content Security Policy (CSP) my recommendation is to not mess with it on Joomla 3, it will break stuff. Joomla 4 includes the plugin you mentioned in the core (in fact, the plugin is an adaptation of the same author's work in the Joomla 4 core) with a critical difference. Joomla 4 provides the necessary methods to sign inline JavaScript and CSS either with a per-page token or a cryptographic signature (the latter is still broken as of Joomla 4 beta 4), allowing you to set a very restrictive CSP. Without this Joomla 4 feature any CSP you choose that lets your site work won't make much of a difference with regards to security and any CSP which would increase security would break your site. So it's best to not touch it with Joomla 3.

                  So, based on all of the above it's best to use Admin Tools because the headers that make sense are best handled at the .htaccess level and they are either already handled by Admin Tools or there is no practical benefit to using a plugin to manage them as opposed to managing them manually.

                  Commentaire

                  Annonce

                  Réduire
                  1 sur 2 < >

                  C'est [Réglé] et on n'en parle plus ?

                  A quoi ça sert ?
                  La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                  Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                  Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                  Comment ajouter la mention [Réglé] à votre discussion ?
                  1 - Aller sur votre discussion et éditer votre premier message :


                  2 - Cliquer sur la liste déroulante Préfixe.

                  3 - Choisir le préfixe [Réglé].


                  4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                  2 sur 2 < >

                  Assistance au forum - Outil de publication d'infos de votre site

                  Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                  Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                  Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                  UTILISER À VOS PROPRES RISQUES :
                  L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                  Problèmes connus :
                  FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                  Installation :

                  1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                  Archive zip : https://github.com/AFUJ/FPA/zipball/master

                  2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                  3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                  4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                  5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                  6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                  et remplacer www. votresite .com par votre nom de domaine


                  Exemples:
                  Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/
                  Pour executer le script: http://www..com/fpa-fr.php

                  Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/cms/
                  Pour executer le script: http://www..com/cms/fpa-fr.php

                  En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                  Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                  Voir plus
                  Voir moins

                  Partenaire de l'association

                  Réduire

                  Hébergeur Web PlanetHoster
                  Travaille ...
                  X