Bonjour,

Il y a pour ça une extension qui s'appelle ByebyeGenerator (et probablement d'autres), que je n'ai pas testée.

Merci Robert

Hello,
pour compléter, ce fichier est ici :

/libraries/src/Document/Renderer/Html/HeadRenderer.php
modifier ligne 131

ben, c'est pas plus simple de désactiver dans Configuration Générale ?

Sauf erreur de ma part, c'est seulement la version qui est masquée.

Tiens, moi comme générateur il met "MYOB" càd "Mind Your Own Business"
Si c'est pas natif, c'est que c'est un effet de Admin Tools ou de aeSecure, que j'ai sur tous mes sites...

Bonjour Marc.
C'est admintools qui met cela. J'avais déjà cherché sur internet et il y a une page d'explications pour ce myob.

C'est effectivement Admin Tools qui génère ça, ce qui est en soi une sorte de signature, donc on perd un peu l'utilité du procédé ... Mais, c'est juste la mention qui figure par défaut, vous pouvez y mettre ce que vous voulez. D'habitude, j'utilise sh404SEF pour retirer complètement la balise "meta generator". Sur les sites où je n'utilise qu'Admin Tools, je remplace MYOB par le nom de la société propriétaire du site.

Tout cela étant dit, on parle bien ici de "sécurité par l'obscurité", donc d'une forme de sécurité illusoire. Il y a d'autres moyen de connaître le générateur, et même la version du site. Comment croyez-vous que Sucuri peut vous annoncer que la version de votre site est obsolète ?

(PS: la réponse à la question est : ils lisent le fichier https://www.monsite.tld/administrato...les/joomla.xml, s'il n'est pas protégé.)

Pardon d'avance pour ma question de débutante, mais si le dossier administrator est protégé par aeSecure, comment Sucuri voit-il que le CMS est Joomla ?
(il ne voit pas la version, en tout cas il n'en parle pas, mais il affiche bien : CMS = Joomla)

Et, tant qu'à faire, j'ai quelques autres questions qui me trottinent depuis que j'ai scanné mon site avec Sucuri :

Website Monitoring
Not detected
===> de quoi s'agit-il, ce monitoring ?

Website Firewall
Not Detected
+
Protection
No website application firewall detected. Please install a cloud-based WAF to prevent website hacks and DDoS attacks.
===> pourquoi Sucuri ne voit-il pas le firewall qu'est censé être (si j'ai bien compris) aeSecure ?

Security Headers

Missing security header to prevent Content Type sniffing.
===> j'ai pourtant ajouté le code préconisé par Joomla! dans les messages de post-installation ... bizarre, ça ne marche donc pas ?

Missing security header for XSS Protection.
Missing Strict-Transport-Security security header.
===> pour l'un comme pour l'autre, n'y a-t-il pas de protection prévue pour ça dans aeSecure ? Si non, Admin Tools le propose-t-il ?
... ou bien vais-je devoir (encore !) copier-coller un code auquel je ne comprends rien dans un fichier auquel je ne comprends rien non plus ??

Leaked PHP version. Your site is displaying your PHP version in the HTTP headers. Please set expose_php = Off.
===> où est-ce qu'on peut faire ça ?

Dans l'ordre :

* Si Sucuri ne voit pas la version, c'est que le fichier dont j'ai parlé est protégé, mais il y a d'autres moyens, par exemple la présence de certains fichier JS (comme https://www.monsite;com//media/jui/js/cms.js).

* Website monitoring : il s'agit d'un service qui vérifie si votre site est en ligne. Je n'ai pas exploré mais je suppose que c'est un service payant. Personnellement, j'utilise un logiciel open source à installer sur un serveur auquel on l'accès (pas celui sur le quel se trouve le site de préférence) : PHP Server Monitor

* Website monitoring : ça c'est leur gagne pain, un WAF. AESecure ou Admin Tools Pro offrent aussi un WAF mais comme il est intégré au site, j'ai toujours supposé qu'un scan extérieur ne peut pas le détecter (ce serait à confirmer par les développeurs). Sucuri va détecter un WAF externe au site, comme le leur ou Cloudfront.

* Security headers : si vous voulez vraiment tester, vous pouvez le faire sur ce site : https://securityheaders.com. Le but est d'obtenir un score de A, le A+ est très difficile à obtenir avec un CMS, à moins d'avoir de solides connaissances en programmation et à faire plusieurs modifications importantes au niveau du code. J'ai déjà constaté sur au moins un site que mettre les codes dans le fichier .htaccess ne fonctionne pas toujours, mais je n'ai pas encore eu le temps de comprendre pourquoi. Comme j'héberge le site de mes clients sur mes propres serveurs, j'ajoute ces protections directement au niveau de l'hôte virtuel sur le serveur, ce qui n'est évidemment pas possible avec un hébergement mutualisé.



* Pour la version PHP, c'est un réglage à faire au niveau des réglages PHP. Suivant les hébergeurs, vous avez accès à ces réglages sur la console d'hébergement, sinon ils vous autorisent à le faire en incluant un fichier php.ini à la racine du site. A voir dans leur documentation ou leur poser la question.

Bonjour.

Pour les "sécurité header" et CSP, j'utilise avec grande satisfaction, le plugin dont nous avons longuement débattu ici et que daneel à traduit.
Il est assez facile à mettre en oeuvre et nous épargne l'écriture du code à placer dans l'htaccess.

houla ! j'ose à peine le dire, mais j'obtiens la note de ... F !!

Voilà la liste de ce qui manque : Ce qui m'amène à demander ...

... j'imagine que c'est https://forum.joomla.fr/forum/joomla...gin-httpheader
correct??

Je vais essayer de m'y pencher, j'espère que c'est compréhensible pour quelqu'un qui n'est pas tech
parce que franchement, je ne me vois pas trop mettre les doigts dans le htaccess généré par aeSecure (d'autant qu'aeSecure est aux abonnés absents !! Forum privé vide, et, pire, interface aeSecure en erreur 500 depuis 2 jours...)

Merci ce conseil !

Flo

Il n'y à pas à toucher au htaccess.
on passe sur le post en question pour continuer.