Protection du dossier administrator = 404

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Protection du dossier administrator = 404

    Bonjour,
    Je suis toujours dans ma migration OVH > 02Switch qui se passe assez bien.
    Néanmoins, encore quelques petits soucis à régler.

    J'ai toujours protégé mon dossier administrator par .htaccess + .htpasswd et cela a toujours fonctionné.
    La même protection chez mon nouvel hébergeur provoque une erreur 404 lors de la connexion à l'administration du site.
    J'ai posé la question au support mais la réponse me semble légère pour le moment, j'espère qu'ils vont approfondir.

    Malheureusement, vous avez cela car vous bloquez l'accès à l'espace d'administration de votre site. De ce fait, il ne peut pas réaliser l'appel à la page et vous renvoie sur une 404. Le système de blocage par htaccess est utile pour protéger le répertoire global où est votre site dans le cas d'un site de dev par exemple si vous ne souhaitez pas que celui-ci soit accessible au public. Cependant, en bloquant uniquement le dossier d'administration de votre site, vous bloquez le bon fonctionnement du CMS directement.
    En fait, le fichier .htaccess contient le texte suivant :

    Code HTML:
    AuthUserFile "/home/graphiquedes/public_html/administrator/.htpasswd"
    AuthName "Restricted Area"
    AuthType Basic
    require valid-user
    RewriteEngine On
    RewriteRule \.htpasswd$ - [F,L]
    À part la chaine de localisation, je ne vois pas ce qui pourrait provoquer une erreur 404.
    Qu'en pensez-vous ?

    Merci !
    Dernière édition par GraphiqueDesign à 17/06/2018, 23h19
    "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
    https://www.graphiquedesign-bf.com/

  • #2
    Effectivement, ce type de protection est un des moyens classiques de sécuriser l'accès à l'administration et ne perturbe en rien le fonctionnement de Joomla!
    Maintenant, je ne sais pas comment vous l'avez activé ? Souvent les hébergeurs ont une fonction "dossier protégé" et c'est par là qu'il faut/vaut mieux passer pour protégé un dossier, plutôt que directement ajouter le .htaccess ou passer par une extension comme AdminTools par exemple.
    Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
    Administrateur certifié Joomla! 3
    https://www.betterweb.fr

    Commentaire


    • #3
      Envoyé par jfque Voir le message
      Effectivement, ce type de protection est un des moyens classiques de sécuriser l'accès à l'administration et ne perturbe en rien le fonctionnement de Joomla!
      Maintenant, je ne sais pas comment vous l'avez activé ? Souvent les hébergeurs ont une fonction "dossier protégé" et c'est par là qu'il faut/vaut mieux passer pour protégé un dossier, plutôt que directement ajouter le .htaccess ou passer par une extension comme AdminTools par exemple.
      Et je confirme qu'O2Switch propose ce type de protection depuis le cPanel. Cependant, je l'ai testé et bizarrement, lorsque je protège un répertoire et que je tente d'accéder à son contenu, je n'obtiens pas la demande des accès, mais une erreur 404.

      Vais demander à O2 le comment du pourquoi.
      Dernière édition par Eddy.vh à 30/05/2018, 13h20
      Cordialement.
      __
      Eddy !!!
      Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

      Commentaire


      • #4
        Idem ici, toujours une erreur 404 sur le dossier administrator !
        Cette fois en passant par la fonction "confidentialité du répertoire" de l'hébergeur.
        "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
        https://www.graphiquedesign-bf.com/

        Commentaire


        • #5
          Voilà la réponse du support o2Switch :

          Bonjour,

          Le problème vient du fichier .htaccess situé au dessus de votre dossier prive qui annule alors les effets du fichier .htaccess que vous avez placé en dessous.

          Il est alors préférable d'utiliser un sous-domaine dans ce cas ce qui vous permettra d'être dans un répertoire indépendant du domaine actuel et de ne pas être soumis à la restriction de ce fichier .htaccess.

          Cordialement,
          XXXXXX.

          J'imagine qu'il faudra voir du côté d'aesecure ?
          Cordialement.
          __
          Eddy !!!
          Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

          Commentaire


          • #6
            Bonjour

            À essayer

            RewriteEngine On
            RewriteOptions Inherit

            Inherit, s'il est supporté par l'hébergeur permet de stopper l'héritage des règles htaccess des dossiers parents.

            Cela vaut la peine de tester...

            Bonne soirée
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Pas tout à fait le même son de cloche chez moi où à présent ça semble fonctionner

              Actuellement, le problème vient du fichier .htaccess supérieur qui prend le relais dès qu'une erreur 401 ou 403 est présente.

              J'ai alors corrigé le fichier .htaccess en rajoutant ces deux lignes :

              ErrorDocument 401 "401"
              ErrorDocument 403 "403"
              Bon, je ne suis pas encore au bureau et ne peux pas vérifier ni voir quel fichier .htaccess a été modifié. Mais ce que je vois sur la tablette, c'est que ça ne fait plus de 404 !
              "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
              https://www.graphiquedesign-bf.com/

              Commentaire


              • #8
                Bonsoir,
                a quoi te servent les deux dernières lignes ?
                RewriteEngine On
                RewriteRule \.htpasswd$ - [F,L]

                je ne suis pas un spécialiste apache mais essaie peut etre ça

                AuthName "Page d'administration protégée"
                AuthType Basic
                AuthUserFile "/home/xxx/xxx/xxx/.htpasswd"
                Require valid-user
                Dernière édition par manu93fr à 31/05/2018, 09h59
                Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
                Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

                Commentaire


                • #9
                  Salut Manu

                  Envoyé par manu93fr Voir le message
                  Bonsoir,
                  a quoi te servent les deux dernières lignes ?
                  RewriteEngine On
                  RewriteRule \.htpasswd$ - [F,L]
                  Le RewriteRule va nterdire l'accès en url au fichier .htpasswd. C'est une bonne chose mais un peu inutile dans /administrator car en principe, sur un site sécurisé, le .htaccess du dossier racine interdit l'accès à tout qui commence par un point. C'est donc superflu dans l'admin.
                  Dernière édition par manu93fr à 31/05/2018, 09h59
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Envoyé par cavo789 Voir le message
                    Bonjour

                    À essayer

                    RewriteEngine On
                    RewriteOptions Inherit

                    Inherit, s'il est supporté par l'hébergeur permet de stopper l'héritage des règles htaccess des dossiers parents.

                    Cela vaut la peine de tester...

                    Bonne soirée
                    Bonjour Christophe,

                    Malheureusement, il me retourne toujours l'erreur 404.

                    Bizarrement, si je désactive aesecure, l'erreur 404 continue d'être retournée…
                    C'est très étrange non ?

                    Ce qui me surprends encore plus, j'ai supprimé la protection activée depuis o2Switch et mis en place une protection depuis aesecure, je devrais alors être certain de la compatibilité entre la protection et le fichier .htaccess d'aesecure…

                    j'ai toujours le 404…
                    Dernière édition par Eddy.vh à 31/05/2018, 12h24
                    Cordialement.
                    __
                    Eddy !!!
                    Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                    Commentaire


                    • #11
                      Salut Eddy

                      Donc http tonsite/administrator/index.php retourne une 404 alors que le fichier index existe et cela avec ou sans .htaccess à la racine du site ? Ai-je bien compris ? (cela me paraît invraisemblable)
                      Si la réponse est oui, est-ce que le fait de créer un fichier bidon (test.txt) avec un petit "Coucou" dans /administrator, est-ce que tu accèdes au fichier ?
                      Si oui, très étrange (à investiguer)
                      Si pas, est-ce que le nom de domaine pointe sur le bon FTP ?

                      Christophe (cavo789)
                      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                      Commentaire


                      • #12
                        Envoyé par Eddy.vh Voir le message

                        Malheureusement, il me retourne toujours l'erreur 404.
                        Bonjour Eddy,
                        Remets la protection de 02Switch et ajoute à ton fichier .htaccess qui est dans le dossier Administrator, ces 2 lignes :

                        Code:
                        ErrorDocument 401 "401"
                        ErrorDocument 403 "403"
                        "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                        https://www.graphiquedesign-bf.com/

                        Commentaire


                        • #13
                          Envoyé par manu93fr Voir le message
                          Bonsoir,
                          a quoi te servent les deux dernières lignes ?
                          RewriteEngine On
                          RewriteRule \.htpasswd$ - [F,L]
                          Bonjour Manu,
                          En fait, ce sont les instructions que fournit Akeeba Admintools !

                          "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                          https://www.graphiquedesign-bf.com/

                          Commentaire


                          • #14
                            Bonjour.

                            @Christophe.
                            J'ai testé la protection sur un répertoire créé pour ce test. J'y ai place un fichier .pdf.
                            La 404 se présente lorsque j'appelle ce fichier voir un index.html de ce répertoire.

                            Le htaccess a la racine est toujours présent mais j'ai désactivé aesecure pour m'assurer qu'il ne soit pas en cause.

                            @GD.
                            Je vais tester ça aujourd'hui.
                            Dernière édition par Eddy.vh à 01/06/2018, 07h13
                            Cordialement.
                            __
                            Eddy !!!
                            Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                            Commentaire


                            • #15
                              Envoyé par GraphiqueDesign Voir le message

                              Bonjour Eddy,
                              Remets la protection de 02Switch et ajoute à ton fichier .htaccess qui est dans le dossier Administrator, ces 2 lignes :

                              Code:
                              ErrorDocument 401 "401"
                              ErrorDocument 403 "403"
                              GD.

                              J'ai ajouté ces lignes et j'obtiens bien la demande d'authentification.
                              J'ai même testé uniquement la première ligne, elle suffit apparemment.

                              Merci pour l'astuce.
                              Cordialement.
                              __
                              Eddy !!!
                              Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X