Quel système pour renforcer la sécurité de son site Joomla ?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • #16
    Bonsoir
    Bien vu d'externaliser au niveau du serveur. Je verrai avec l'hébergeur PH s'il veut bien rajouter ce module
    Faciliter l'adoption du meilleur du Libre auprès du grand public https://clibre.eu/ - Connaissez-vous des communicants ... pour promouvoir joomla ? https://forum.joomla.fr/forum/th%C3%...mouvoir-joomla

    Commentaire


    • #17
      Bonjour,

      J'ai installé Akeeba Admin Tools et depuis je n'arrive plus à télécharger les fichiers PDF placés en lien dans un article.

      J'ai un message 403 Forbidden : You don't have permission to access this resource.

      J'ai regardé dans le .htaccess (créé par Akeeba) mais ne trouve rien.

      J'ai regardé Akeeba - Tools - Permissions Configuration pour changer la permission PDF de 755 vers 777 par exemple mais cela n'est pas aidant.

      Une idée de mon erreur ?
      Dernière édition par Joopas à 25/10/2020, 14h34

      Commentaire


      • #18
        Envoyé par Joopas Voir le message
        Bonjour,

        J'ai installé Akeeba Admin Tools et depuis je n'arrive plus à télécharger les fichiers PDF placés en lien dans un article.

        Une idée de mon erreur ?
        Bonjour,

        On s'ecarte du sujet qui était de connaître les systèmes pour renforcer la sécurité de son site Joomla.

        Pour répondre toutefois à la question, admin tools autorise le téléchargement à partir des repertoires images ou media.
        Si vos PDF sont stockés dans un autre repertoire, il faudra l'ajouter dans le htaccess maker d'admin tools.
        Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

        Commentaire


        • #19
          On s'écarte oui et non, car il s'agit aussi d'expérimenter au quotidien l'outils et de voir s'il est facile de trouver des solutions ;-)

          Pour celui qui aurait le même problème, j'ai trouvé comment faire.

          Aller dans le .htaccess Maker, dans "Allow direct access, except .php files, to these directories", ajouter le dossier créé à la racine (par exemple pdf sans /).

          D'une manière plus globale, le système semble compliqué à installer (lorsque l'on découvre la doc, puis l'outils), mais ce n'est pas le cas. De plus, le support est réactif, donc pour l'instant bonne pioche !
          Dernière édition par Joopas à 26/10/2020, 10h55

          Commentaire


          • #20
            C'est un point de vue, ok pas de soucis, on continue !



            Globalement, le tout étant de savoir si on sécurise coté serveur ou coté via une extension joomla.
            De mon avis, c'est un peu des deux et plus encore !

            Pour admin tools, il est très bien réalisé mais ne couvre qu'une partie.

            L'hébergeur a par exemple des responsabilités. C'est pour cela que certains sont capables de bloquer votre site et votre messagerie sans avertissement car leur script a detecté un envoi massif de spam généré depuis votre domaine.

            Important : J'ai rappelé à toutes fins utiles que l'option de copie du contenu du formulaire de contact ne devait pas être activé car cette option est généralement détourné pour transformer votre site en machine à spam : https://forum.joomla.fr/forum/ressou...-votre-adresse

            Alternativement, les meilleurs hébergeurs sont beaucoup plus prévenant en mettant en place des solutions.

            Exemple :
            - mod_security : https://www.modsecurity.org/
            - patchman : https://www.patchman.co/
            ...

            Patchman est un service externe que votre hebergeur peut souscrire pour detecter les failles et les mises à jour qui n'ont pas été réalisés (par exemple, une mise à jour de joomla).
            En attendant votre intervention, le système vous avertit préalablement par mail et effectue un correctif temporaire qui sera supprimé quand vous aurez effectué la mises à jour.
            Tous les sites que j'héberge dispose de ce service et pour en avoir vu l'efficacité, j'en suis pleinement satisfait.

            De son coté, le concepteur et administrateur du site (c'est à dire vous!) devraient :
            - sécuriser les formulaires (authentification, contact...)...
            - appliquer un certificat de sécurité sur ces pages (https) et rediriger sur ces pages sécurisés
            - respecter le consentement (RGPD) via une politique de confidentialité intégrant également la gestion des cookies
            - mettre en place une politique de sécurité (CSP) , ajouter des entêtes de sécurité notamment avec httpheader ( traduit en français ) : https://extensions.joomla.org/extension/httpheader/
            ... et d'autres points comme suivre et appliquer toutes les mises à jour nécessaires !

            Vous avez déjà testé votre site sous https://securityheaders.com/ ? Si vous avez un F, vous devez vous poser les bonnes questions !

            Alternativement, un système comme cloudflare offre bien plus qu'un cdn mais également des moyens de sécuriser un peu plus votre site.
            Cela peut se révéler judicieux surtout si l'hebergement ne possède pas d'offres suffisantes.

            Si cela vous intéresse, on pourra prochainement mettre en place une session virtuelle sur le sujet de la sécurité avec des sites sous Joomla 3 mais également Joomla 4. Et prolongez le tout lors du prochain joomladay.



            Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

            Commentaire


            • #21
              Bon, si je comprends bien il ne faut pas se limiter à la protection de l'hébergeur et à un outils comme Akeeba Admin Tools (ou avant comme aeSecure) mais empiler les couches de protection (en ajoutant en plus des plugins comme httpheader).

              Si la complémentarité semble intéressante pour son efficacité, le risque de s'embrouiller dans l'utilisation de différents outils (pour un non-expert que je suis) est bien présent... sans parler d'un possible conflit entre les outils dont le réglage fin a déjà été un problème pour les permissions par exemple.

              Commentaire


              • #22
                Effectivement, cela peut s'embrouiller pour les non-initiés mais face pléthore d'outils, on peut s'organiser en les classant tout simplement.
                C'est le but justement d'en apprendre un peu plus et d'avoir les infos suffisantes pour se débrouiller.

                On peut s'en sortir en établissant une checklist et en dosant les mesures appropriés à une bonne sécurisation du site.
                De plus, ce serait dommage de se priver de ce qui existe, non ?

                Et si on parle de complémentarité, on peut aussi faire le rapprochement par rapport à la performance, certains outils travaillent sur les deux tableaux.

                Je n'ai aucun problème à évoquer chaque outil dans la mesure de ce que je connais. C'était surtout pour répondre à ta question.

                Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                Commentaire


                • #23
                  Bonjour,

                  Je reviens sur l'utilisation d'un plugin complémentaire comme httpheader qui ajoute une couche supplémentaire de protection, mais en risquant de créer des complications avec d'autres systèmes comme Admin Tools d'Akeeba par exemple.

                  J'ai posé la question sur le forum d'Akeeba et la réponse indique - si j'ai bien compris - qu'il n'est pas utile, voire qu'il n'est pas recommandé d'ajouter ce plugin (présent dans Joomla 4), car il est possible de le faire manuellement (sur certains headers) via Admin Tools.

                  J'ai l'impression qu'Admin Tools propose une protection vraiment globale, reste juste à activer (manuellement) les bonnes options... (à faire avec un spécialiste à mon avis...).

                  La réponse (en anglais ci-dessous) semble complète, très (trop) technique (pour moi). Qu'en pensez-vous ?



                  The four headers that the plugin says it provides default for, Admin Tools' .htaccess / NginX Configuration / web.config Maker is better at managing them. It's the same headers, it's just that using a server configuration file applies them on all requests, not just those going through Joomla. This is especially important for HSTS and CORS headers.

                  Regarding the other headers, I maintain that it's best that you set them up manually, in your server configuration file (.htaccess, web.config or NginX's configuration) than using a plugin for two reasons:
                  1. Using a plugin only applies them on requests going through Joomla but not any arbitrary .php scripts, static HTML pages or CSS, JS and other files when accessed directly over the web. This includes SVG files which can be problematic for security (note that Admin Tools provides an option to neuter them).
                  2. Defining, for example, which HTML5 capabilities are required on your site necessitates going through your site with a fine comb and mapping the URLs where each capability is used. You then need to construct a header with rules corresponding to the URLs which need those capabilities. Similar considerations apply for all other headers the plugin mentions. At this point constructing the header is the easiest part. The plugin doesn't help you with anything.
                  For Content Security Policy (CSP) my recommendation is to not mess with it on Joomla 3, it will break stuff. Joomla 4 includes the plugin you mentioned in the core (in fact, the plugin is an adaptation of the same author's work in the Joomla 4 core) with a critical difference. Joomla 4 provides the necessary methods to sign inline JavaScript and CSS either with a per-page token or a cryptographic signature (the latter is still broken as of Joomla 4 beta 4), allowing you to set a very restrictive CSP. Without this Joomla 4 feature any CSP you choose that lets your site work won't make much of a difference with regards to security and any CSP which would increase security would break your site. So it's best to not touch it with Joomla 3.

                  So, based on all of the above it's best to use Admin Tools because the headers that make sense are best handled at the .htaccess level and they are either already handled by Admin Tools or there is no practical benefit to using a plugin to manage them as opposed to managing them manually.

                  Commentaire

                  Annonce

                  Réduire
                  Aucune annonce pour le moment.

                  Partenaire de l'association

                  Réduire

                  Hébergeur Web PlanetHoster
                  Travaille ...
                  X