Quel système pour renforcer la sécurité de son site Joomla ?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Quel système pour renforcer la sécurité de son site Joomla ?

    Bonjour à tous,

    Jusqu'à présent, j'ai utilisé les services aeSecure, mais visiblement l'entreprise a disparue (site plus trouvable en 404, email support qui n'existe plus...).

    Du coup, je cherche un autre système permettant de sécuriser d'une manière globale un site Joomla.

    Qu'est-ce que vous utilisez ?

    Est-ce que Security Check Pro est une bonne pioche - https://extensions.joomla.org/extens...ritycheck-pro/ ?

    Ou l'extension Akeeba Admin Tools que j'utilise déjà pour faire des backups et qui propose aussi de la sécu si j'ai bien compris https://extensions.joomla.org/extens...-professional/ ?

    Oui bien quelque chose d'extérieur pour déléguer (comme fait auprès d'aeSecure, car mes connaissances sont limitées) comme https://www.siteguarding.com/en/protect-your-website ?

    Merci d'avance pour votre feedback
    Dernière édition par Joopas à 13/10/2020, 15h23

  • #2
    Bonjour

    En effet, aeSecure est terminé, ce fût une belle aventure.

    Tu peux te fier Akeeba Admin Tools sans la moindre hésitation si ton ambition est d'avoir un outil, installé sur ton site, pour y gérer la sécurité.

    Bonne journée.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Bonjour Christophe,

      Merci pour ta réponse (en plus de celle par e-mail si j'ai bien compris ;-)

      Une belle aventure, oui certainement, mais pas pour tous. Client, j'avais un abo aeSecure INSTALL+ (130 euros de mémoire) qui devait prendre fin 2 ans après l'achat (également de mémoire, soit jusqu'à janvier prochain). Dommage de ne pas avoir pris le temps d'informer les clients de cette fermeture... surtout si plus de mise à jour, et plus de services (donc de protection ?) vu que le site a disparu...

      Bref, merci pour ton conseil d'orienter mon choix vers Akeeba Admin Tools.

      Que faire des modifications réalisées par aeSecure notamment dans le .htaccess ? Est-ce que je supprime tout pour repartir sur un .htaccess par défaut ?
      Dernière édition par Joopas à 13/10/2020, 16h40

      Commentaire


      • #4
        Salut

        Tu as raison, excuse-moi : c'était une belle aventure pour moi mais pas partagée par ceux qui ont eu à souffrir de l'abandon dans le chef du repreneur. Si ce n'est pas déjà fait, je te suggère de prendre connaissance du sujet suivant pour te faire une idée de la conclusion de ma "belle aventure", conclusion pénible pour tous; moi y compris : https://forum.joomla.fr/forum/joomla...coup-de-gueule.

        Fin 2018, j'ai donné mon logiciel, mon site, ma base de données clients, ... à un repreneur. A lui à continuer à supporter les clients existants à cette date et à vendre les logiciels et les prestations et à en percevoir le fruit. Fin 2018, tout était dans ses mains; plus les miennes.

        Tu mentionnes avoir pris un abonnement au 23 janvier 2019 (ton post https://forum.joomla.fr/forum/joomla...33#post2021233). Je te remercie d'avoir retrouvé cette date : je n'étais plus aux commandes; le contrat que tu as passé l'était avec ce reprenneur.

        aeSecure étant le logiciel que j'ai développé; je puis te garantir ceci : je l'ai développé en PHP 7 (et cette version a encore de belles années devant elle (https://www.php.net/supported-versions.php)). Le logiciel n'a aucune "date de fin" : tu as acheté un logiciel fonctionnel et il le restera; même si tu n'as plus la possibilité d'en télécharger de nouvelles versions (le développement étant terminé; il n'y aura pas de nouvelles versions). Toutes les fonctionnalités qui s'y trouvent restent actives sur ton site; il n'y a pas de péremption.

        Toutefois, tu as aussi raison, tu avais également acquis un support (deux ans donc) jusqu'à fin janvier 2021. Il ne m'appartient pas de me prononcer à ce sujet; il faudrait voir avec la personne qui a perçu ton argent pour ce service et qui est donc contractuellement lié avec toi.

        Sur ton précédent post tu écrivais "Ce qui veut dire que j'ai payé pour combien de semaines seulement en fait ? L'entreprise est fermée depuis quand exactement ?". Je puis dire ceci : j'ai reçu la propriété du nom de domaine de retour (pas le site !) aux alentours de Juin 2020 et j'ai cassé la redirection DNS (je ne me suis pas pris la tête, j'ai fait une redirection DNS vers google). Entre fin 2018 et cette date-là (juin 2020), le site était géré par le repreneur. Le site a disparu depuis.

        Voilà, cela ne t'avance pas beaucoup je le crains mais peut-être aurais-je pu te rassurer au moins sur la non obsolescence du logiciel.
        Dernière édition par cavo789 à 13/10/2020, 17h50
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Salut Christophe,

          Merci pour ces précisions.

          J'avais bien compris que tu n'es pas le responsable, et qu'il s'agit de Simon, c'est pourquoi je l'ai contacté sur son site encore en ligne.

          J'ai bien compris également que ton logiciel reste efficace. Le fait est qu'il n'y a rien d'installé sur mon site, rien dans les composants, etc. (à part le .htaccess par exemple créé par le service payé).

          D'où mon doute sur la protection vendue, sans parler bien sûr du support et des mise à jour, ni du fait de partir en laissant les clients en plan sans prévenir (ni proposer de remboursement vu que le contrat est rompu)... Cela n'est pas de ton ressort, cela aussi je l'ai intégré, et te remercie encore pour ces précisions.
          cavo789 aime ceci.

          Commentaire


          • #6
            Le logiciel est sauvé dans le dossier aesecure qui se trouve à la racine de ton site.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Ci-dessous une doc que j'avais écrite... Elle te sera peut-être utile...

              https://web.archive.org/web/20150920...ncorrecte.html
              Christophe (cavo789)
              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

              Commentaire


              • #8
                Merci beaucoup Christophe pour ces nouvelles précisions. Tout cela doit être bien pesant pour toi...

                Donc pour résumer, si je peux encore abuser de votre temps, je dois supprimer le dossier à la racine, changer le .htaccess (je vais bien trouver le .htaccess de Joomla par défaut quelque part), puis installer Akeeba Admin Tools puisque cet outils sera mis à jour contrairement à aeSecure.

                Bonne stratégie d'après toi ?
                Dernière édition par Joopas à 13/10/2020, 20h12

                Commentaire


                • #9
                  En procédant de la sorte tu désactives et désinstalled aeSecure donc oui en effet.

                  Gardes quand même un backup de ton htacces au cas où.
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Ok, merci

                    Commentaire


                    • #11
                      Bonsoir,
                      J'ai utilisé https://extensions.joomla.org/extens...ritycheck-pro/ pendant 2 ans.
                      Le dev' est super réactif et son produit est certainement très bon si ... il n'y a pas de membres enregistrés!
                      Je crée/utilises des sites communautaires ou les membres publient du contenu en front-end
                      J'ai du le désactiver car malgré son aide, j'ai souvent vu des membres bloqués. J'ai essayé d'alléger les règles très stricts sur le contenu publié dans l'éditeur tiny
                      Si d'autres ont un avis convergent cela m'intéresse pour savoir si j'y revines avec joomla 4
                      Je testerai admin tools sur ces mêmes sites pour savoir s'il est moins stricts ?
                      Faciliter l'adoption du meilleur du Libre auprès du grand public https://clibre.eu/ - Connaissez-vous des communicants ... pour promouvoir joomla ? https://forum.joomla.fr/forum/th%C3%...mouvoir-joomla

                      Commentaire


                      • #12
                        Ça dépend ce que vous appelez par "strict" : quelles étaient les raisons des blocages ? Si ce sont des mots de passe erronés à répétition, aucun composant de sécurité ne sera "moins strict" puisque c'est l'une de leurs principales fonctions.
                        Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
                        Administrateur certifié Joomla! 3
                        https://www.betterweb.fr

                        Commentaire


                        • #13
                          Salut herve

                          Cela ne règlera pas ton problème avec ton composant actuel, mais j'apporte ma modeste contribution à ton fil pour te signaler que j'utilise Admintools depuis des années sur pratiquement tous mes sites clients, et j'en suis très satisfait.

                          Dol.
                          Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
                          Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
                          Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

                          Commentaire


                          • #14
                            Bonjour
                            Envoyé par jfque Voir le message
                            Ça dépend ce que vous appelez par "strict" : quelles étaient les raisons des blocages ? Si ce sont des mots de passe erronés à répétition, aucun composant de sécurité ne sera "moins strict" puisque c'est l'une de leurs principales fonctions.
                            Je crée des sites communautaire/collaboratifs. Les membres copient/collent du contenu en html dans l'éditeur avec un rôle auteur. Logique et normal car sinon il n’utiliseront plus le site. Il serait nécessaire d'assainir le code envoyé en acceptant la plupart des balises html. Ce composant n'est pas assez sophistiqué pour comprendre que des membres se connectent normalement peuvent être autorisés à faire cela. Il a été très fréquent qu'il bloquent la publication de contenu.
                            Je vais essayer admintools. C'était juste pour dire que la protection d'un site communautaire est plus compliqué d'un site ou il y juste 1 ou 2 auteurs d'articles qui font l'ajout/maj via le back office
                            Faciliter l'adoption du meilleur du Libre auprès du grand public https://clibre.eu/ - Connaissez-vous des communicants ... pour promouvoir joomla ? https://forum.joomla.fr/forum/th%C3%...mouvoir-joomla

                            Commentaire


                            • #15
                              Bonjour,

                              Dans l'hebergement que je propose, j'agis plus au niveau du serveur avec des solutions firewall et antispam. Le serveur filtre notamment les tentatives d'insertion de code via l'url, les formulaires, les brute force et geolocalisation...

                              Certains clients "indisciplinés" diffusent leur mail publiquement donc difficile de protéger uniquement à travers le site. J'agis donc avec la messagerie avec un filtre (avec une intelligence artificielle) qui analyse les mails reçus, apprend à distinguer le type de mail et se connecte avec les bases antispam. On associe également les efforts d'optimisation à la sécurité, cela permet d'économiser de la ressource et augmenter la rapidité de chargement.

                              Donc pas d'extensions ou de modification du htaccess car géré par le serveur. Evidemment, on tient compte du RGPD et de la relation hebergeur / client.

                              Cependant les défauts existent, ce n'est pas non plus insurmontable surtout quand on le sait. Par exemple, si une personne change le mot de passe de sa messagerie, elle pourra se retrouver blacklisté si elle oublie de modifier le code dans son smartphone qui après plusieurs tentatives va bloquer l'ip wifi de connexion (dans le cas où l'adresse ip n'est pas en liste blanche). Le système est prévu pour durée limité mais on peut être surpris par le fait de ne plus pouvoir voir le site, envoyer ou recevoir des mails à l'adresse wifi de connexion (desktop et smartphone).

                              Il existe bon nombre de solutions serveurs, certains sont adaptés à Joomla notamment le panneau plesk qui propose quelques fonctionnalités spécifiques développés par viktor vogel ( https://www.plesk.com/joomla-toolkit/ )

                              Je sais que cela demande un peu de connaissance mais c'était important de faire le feedback sur ce type de solution.
                              Dernière édition par daneel à 17/10/2020, 00h20
                              herve aime ceci.
                              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X