Sécuriser Virtuemart 3 sur joomla 3

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Sécuriser Virtuemart 3 sur joomla 3

    Bonjour,

    Le mois passé j'ai été piraté et j'ai du tout reprendre l'ensemble de mon site.
    J'ai composé pour la 1ère fois un .htaccess que j'ai obtenu grâce à un opérateur technicien d'OVH; j'ai installé de suite les captcha pour les formulaires, et j'ai installé la clé secrète pour tous mes sous-domaines avec redirections 301.


    Là, je souhaite mettre Virtuemart et j'ai peur des attaques à nouveau.
    Je voudrais savoir quels sont les droits que vous avez mis vos différents dossiers. Les miens sont pour le moment en 705. Me conseillez-vous de mettre les dossiers en 755 et les fichiers en 644 comme le propose nosyweb
    et je voudrais également savoir ce que vous avez mis comme mots interdits pour les champs de formulaires de connexion, modification ou encore pour le panier dans la commande.

    et comme dans Virtuemart on demande de sécuriser le chemin vers VMfiles mais quand je mets en 705 et est-ce que c'est suffisant et mettriez vous ce dossier dans le premier noeud (pardon j'ai oublié le thème) du serveur (soit hors www) sachant que je ferai du téléchargement payant? et les clients doivent également s'enregistrer pour commander?

    Je vous remercie.

  • #2
    Re : Sécuriser Virtuemart 3 sur joomla 3

    Déjà jeter un coup d'oeil chez aesecure ? http://www.aesecure.com/fr/
    Christophe Avonture à l'origine de ce projet est (cerise sur le gâteau) sur ce forum

    Un échange intéressant ici http://forum.joomla.fr/archive/index.php/t-200436.html
    Solidaire avec les dinosaures

    Commentaire


    • #3
      Re : Sécuriser Virtuemart 3 sur joomla 3

      Bonjour

      Merci messinmaisoui.

      Je n'ai pas réagi hier car je ne connais pas VM que pour conseiller quelque chose à ce niveau-là.

      Toutefois, pour Joomla himself; je peux donner un grand nombre de recommandations dont, entre autre, prendre connaissance de la présentation sur la sécurité que j'ai faite à Paris (http://www.aesecure.com/fr/blog/joomla-securite.html). D'ici une semaine, je mettrai ce document-là à jour car je fais une nouvelle présentation sécurité à Nice (JDay 2015) et j'ai ajouté un très grand nombre de slides et donc enrichi le document.

      En quelques mots :

      chmod : 755 pour les dossiers et 644 pour les fichiers.
      Placer des .htaccess dans des dossiers tels que /images, /media, /tmp, ... pour interdire définitivement l'exécution de scripts php.
      Mettre son index.php en 440 voire 400 si cela est possible.
      Mettre en place un .htaccess de compétition (aeSecure en génère un de plusieurs centaines de lignes).
      et, surtout!, dans ton cas, scanner ton site pour être certain qu'il est clean et qu'il n'y a plus aucune bestiole.

      Bonne journée.
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Re : Sécuriser Virtuemart 3 sur joomla 3

        Un très grand merci!

        Je vais voir ça.

        Cordialement.

        Commentaire


        • #5
          Re : Sécuriser Virtuemart 3 sur joomla 3

          Re,

          Je reviens vers vous, je n'ai pas su utiliser aesecure.php qui me renvoie vers une page 404

          je suis allée voir sur https://sitecheck.sucuri.net/ et je fais le test :

          tout est nickel sauf

          dans les website details :


          /media/jui/js/jquery.min.js
          /media/jui/js/jquery-noconflict.js
          /media/jui/js/jquery-migrate.min.js
          /media/system/js/caption.js
          /media/jui/js/bootstrap.min.js

          et Website Firewall est "no found" alors que je l'ai installé dans le manager OVH!

          Que dois-je faire?

          J'ai installé mon formulaire de contact avec captcha et le site est hors ligne mais quand je me rends dessus, il m'indique que j'ai une erreur de confidentialité : le https est barré et voici l'erreur définie par google chrome :
          NET::ERR_CERT_COMMON_NAME_INVALID

          En attente de vos réponses rapides.

          Cordialement.

          Commentaire


          • #6
            Re : Sécuriser Virtuemart 3 sur joomla 3

            Est ce que je dois créer un certificat SSL avec google? et firefox (je n'ai pas essayé sur ce navigateur)?

            Commentaire


            • #7
              Re : Sécuriser Virtuemart 3 sur joomla 3

              S'il vous plait, renseignez-moi à nouveau!

              Dois-je prendre un certificat SSL? Je pense prendre celui d'OVH....

              Est-ce que l'on peut m'indiquer à quoi correspondent mes failles de sécurité, que j'ai cité ci-dessus?


              Très très cordialement.

              Je vous remercie encore sur les droits de dossier que j'ai appliqué et je vous remercie d'avance pour vos réponses.

              Commentaire


              • #8
                Re : Sécuriser Virtuemart 3 sur joomla 3

                Bonjour,

                J'ai compris que ces failles repérées comme telles dans sucuri.net relèvent du javascript et du jquery.

                J'ai vu qu'il y avait un plugin en anglais accessible à l'adresse suivante: http://www.perfect-web.co/joomla-ext...p-in-joomla-25

                Qu'en dites-vous?

                Je ne suis toujours pas parvenue à faire fonctionner aesecure.php.

                mais je crois que j'ai compris pourquoi mon site se décompose en plusieurs sous-domaines et l'accueil du site n'est pas géré par Joomla.... Je vais donc voir cela...

                Cordialement

                Commentaire


                • #9
                  Re : Sécuriser Virtuemart 3 sur joomla 3

                  Bonjour,
                  C'est bon, j'ai compris le fonctionnement de aesecure...
                  Bon, effectivement, je ne suis pas informaticienne et je manque parfois de logique...

                  Ca marche niquel... Merci!

                  Commentaire


                  • #10
                    Re : Sécuriser Virtuemart 3 sur joomla 3

                    Bonsoir

                    Désolé, absence de réponse car j'étais à l'immense fête Joomlienne qui s'est tenue à Nice ce week-end.

                    Que n'avais-tu pas compris dans le mode de fonctionnement d'aeSecure ? (puis-je rendre plus explicite mon mode d'installation)

                    Bonne soirée.
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire


                    • #11
                      Re : Sécuriser Virtuemart 3 sur joomla 3

                      Comme je le disais... Je trouvais ce qui ne fonctionnait pas...

                      C'est assez bête de ma part... aesecure.php fonctionne qu'avec Joomla. Or, je l'avais mis en racine du site alors que celui n'est pas géré avec joomla.

                      Voili Voilà....

                      Bon j'ai compris ce que j'avais fait et aescure fonctionne bien sur mes sous-domaines gérés avec joomla.

                      Cordialement..

                      Commentaire


                      • #12
                        Re : Sécuriser Virtuemart 3 sur joomla 3

                        reBonjour

                        Envoyé par elislu Voir le message
                        C'est assez bête de ma part... aesecure.php fonctionne qu'avec Joomla.
                        Raté :-) aeSecure fonctionne avec tout qui tourne sous Apache et pas seulement Joomla.

                        Il faut toutefois, oui, placé le fichier aesecure.php à la racine de ton site càd dans le même dossier que, pour un Joomla, le fichier configuration.php


                        Envoyé par elislu Voir le message
                        Bon j'ai compris ce que j'avais fait et aescure fonctionne bien sur mes sous-domaines gérés avec joomla
                        Super!
                        Christophe (cavo789)
                        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                        Commentaire


                        • #13
                          Re : Sécuriser Virtuemart 3 sur joomla 3

                          Bonjour,

                          je reviens vers vous... tout va bien avec aesecure.php mais j'ai réglé mes soucis que j'ai pu avoir des créations de compte tout en sécurité mais j'ai un soucis avec la sécurité et le droit d'accès aux dossiers des factures...
                          Virtuermart me dit
                          "vmError: Le chemin pour les factures ne parait pas disposer des permissions nécessaires Chemin vers les médias de produits à vendre"
                          j'ai mis chmod 705 et puis 777 et je trouve que c'est limite niveau sécurité mais dans les deux cas, cela ne fonctionne pas...

                          Pourriez-vous m'indiquer que faire?

                          Cordialement

                          Commentaire

                          Annonce

                          Réduire
                          Aucune annonce pour le moment.

                          Partenaire de l'association

                          Réduire

                          Hébergeur Web PlanetHoster
                          Travaille ...
                          X