Pour + de sécurité, désinstaller sans complexes !

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Pour + de sécurité, désinstaller sans complexes !

    Bonjour,

    Je viens de visionner les slides sur la sécurisation d'un site de cavo789. J'en sors totalement parano ;-) <-- smiley

    Une question qui me turlupine.
    On dit de virer tout un tas de choses. Déjà, des fichiers comme : CONTRIBUTING.md, htaccess.txt, LICENSE.txt, joomla.xml, README.txt, robots.txt.dist, web.config.txt que l'on trouve tous à la racine du répertoire du site Joomla. Aucun soucis, c'est fait.

    On dit également de désinstaller les extensions qui ne sont pas utilisées. Là aussi, c'est fait.

    Mais qu'en est-il des templates suivants : Hathor (administration), Protostar et Beez ?
    Peut-on les désinstaller sans conséquences ?
    Ne seront-ils pas réinstallés à chaque mise à jour de Joomla ?

    Merci d'avance pour vos conseils et suggestions.
    "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
    https://www.graphiquedesign-bf.com/

  • #2
    Re : Pour + de sécurité, désinstaller sans complexes !

    Bonjour,

    En regardant dans le .htaccess généré par AESecure, les fichiers contributin.md, htaccess.txt, ... sont déjà écartés, donc, peu de risques à ce niveau. Vous pouvez quand même les supprimer, mais, je pense que cela ne changera pas grand chose, sauf peut-être une erreur 403 (access denied) générée par AESecure au lieu d'une erreur 404 (not found).

    Pour les templates Hathor, Protostar, Beez, je viens de faire un test de mise à jour à partir d'un "vieil" environnement 3.6.4 où je les avais supprimés: la mise à jour en 3.6.5 ne les a pas ré-installés.

    Bonne continuation et bonnes fêtes de fin d'année,

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Re : Pour + de sécurité, désinstaller sans complexes !

      Bonjour

      C'est une excellente remarque que celle de la réinstallation des templates natifs... note qu'il en va de même pour les fichiers que tu as supprimés : si ces fichiers, si ces templates sont dans le pack de mise-à-jour, ils seront remis.

      Comme le souligne pmleconte, tu peux contrer l'accès aux fichiers (CONTRIBUTING.md, htaccess.txt, LICENSE.txt, joomla.xml, ...) avec une règle dans le .htaccess. Ainsi, même s'ils sont présent, tu peux ne pas les afficher et décider ce que tu fais (envoyer une erreur 403, 404 ou celle de ton choix)

      Pour les templates, l'idée est d'interdire l'utilisation de ces templates qui pourraient contenir une faille. Comme tu l'auras sans nul doute lu dans le pack de màj vers 3.6.5, il y a un souci de sécurité (low) dans le template beez (https://developer.joomla.org/securit...isclosure.html). Si quelqu'un peut accéder à ton site et forcer l'affichage de ce template (càd en faisant un ?tmpl=beez) en URL, il va (peut-être) pouvoir exploiter la faille.

      Si tu avais viré beez de ton site, cela serait juste impossible à activer.

      Note : dans le .htaccess, tu peux aussi écrire une règle qui interdit l'utilisation de "(?|&)tmpl=".

      Bonne journée et bonnes fêtes à tous.
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Re : Pour + de sécurité, désinstaller sans complexes !

        Merci à tous deux pour vos explications.
        Par contre, je fais une distinction entre les bloquer et les virer, nombreux semblent donc être ceux qui les bloquent via le .htaccess.

        Mais ceux qui les virent, n'ont ils jamais eu à le regretter ? Ne peux t-on pas se retrouver un jour dans une situation où il faut les réinstaller ?

        Parce que je me dis, autant les virer ! On allège les sauvegardes, quand on place un module, on a que les positions du template utilisé, bref, je n'y vois que des avantages. Pas vous ?
        "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
        https://www.graphiquedesign-bf.com/

        Commentaire


        • #5
          Re : Pour + de sécurité, désinstaller sans complexes !

          Sur une installation, on a souvent (toujours ?) un problème de temps qui fait que l'on remet à demain le "cosmétique" et ce qui n'est pas vital.

          De plus, je dois l'avouer, je ne m'étais pas encore intéressé aux fichiers "à poubelliser", donc, qui étaient restés depuis 3 ou 4 ans sur l'ensemble des sites. J'avais laissé ces fichiers dont je ne voyais ou ne connaissais pas l'inutilité.

          Je viens de les supprimer car potentiellement dangereux, même si, grâce à AESecure (merci Christophe), ils étaient inaccessibles.

          Pascal
          If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

          Commentaire


          • #6
            Re : Pour + de sécurité, désinstaller sans complexes !

            Envoyé par GraphiqueDesign Voir le message
            Merci à tous deux pour vos explications.
            Par contre, je fais une distinction entre les bloquer et les virer, nombreux semblent donc être ceux qui les bloquent via le .htaccess.

            Mais ceux qui les virent, n'ont ils jamais eu à le regretter ? Ne peux t-on pas se retrouver un jour dans une situation où il faut les réinstaller ?

            Parce que je me dis, autant les virer ! On allège les sauvegardes, quand on place un module, on a que les positions du template utilisé, bref, je n'y vois que des avantages. Pas vous ?
            Réinstaller un template est simple.. Tu copies le dossier templates/beez pour prendre cet exemple depuis une archive de joomla vers ton site puis tu fais un "découvrir" depuis ton interface d'administration de joomla.

            Je n'ai jamais eu à le faire mais je ne suis peut-être pas un bon exemple car je n'ai que deux ou trois site à gérer pas davantage.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : Pour + de sécurité, désinstaller sans complexes !

              htacces.txt, robots.txt.dist, web.config.txt ne sont pas à supprimer mais à renommer (.htaccess, robots.txt, web.config).
              Ces fichiers sont fourni par la communauté et fournissent des réglages par défaut.
              Une fois renommés, il faut les personnaliser selon les besoins.
              Le premier contient des regles de reecriture d'url, le second des regles concernant les robots parcourant ton site, et le dernier est l'équivalent du fichier .htaccess pour les seveurs iis(un seul à garder).

              Ils réapparaitront des qu ils seront modifiés par les dev........

              Quand aux templates, idem. Ils reapparaitront si les dev les modifient (et non à chaque mise à jour de Joomla).

              Ces templates sont suffisament robuste pour passer plusieurs mise a jour sans être modifiés.

              Si tu les utilise comme base, il faut travailler sur une copie histoire d 'eviter les ecrasement de fichier inatendus.
              Dernière édition par lefabdu51 à 22/01/2017, 14h52

              Commentaire


              • #8
                Re : Pour + de sécurité, désinstaller sans complexes !

                Réinstaller à partir d'une copie de dossier et une découverte ne suffit pas toujours : il faut aussi penser aux fichiers de langue.
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                Commentaire


                • #9
                  Re : Pour + de sécurité, désinstaller sans complexes !

                  Envoyé par lefabdu51 Voir le message
                  htacces.txt, robots.txt.dist, web.config.txt ne sont pas à supprimer mais à renommer (.htaccess, robots.txt, web.config).
                  Ces fichiers sont fourni par la communauté et fournissent des réglages par défaut.
                  Une fois renommés, il faut les personnaliser selon les besoins.
                  Le premier contient des regles de reecriture d'url, le second des regles concernant les robots parcourant ton site, et le dernier est l'équivalent du fichier .htaccess pour les seveurs iis(un seul à garder).
                  Je ne vois pas l'utilité de garder le htaccess.txt quand tu as déjà un .htaccess en place. Idem pour robots.txt.dist, si robots.txt est déjà en fonction, pourquoi garder l'autre ? Sinon, un serveur iis, c'est plutôt un truc spécifique ou ça touche tout le monde ?
                  "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                  https://www.graphiquedesign-bf.com/

                  Commentaire


                  • #10
                    Re : Pour + de sécurité, désinstaller sans complexes !

                    tu peut les supprimer, ce n est pas un soucis.

                    Si les deux types de fichiers sont present, c est que tu n as pas utilisé la bonne methode pour les créer.

                    Normalement, c est on renomme et modifies.
                    Comme ca ils ne sont plus present.

                    iis = version windows d apache.

                    Commentaire


                    • #11
                      Re : Pour + de sécurité, désinstaller sans complexes !

                      IIS c'est sous Windows server donc ça concerne a priori assez peu de gens.
                      Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
                      Confucius

                      Commentaire


                      • #12
                        Re : Pour + de sécurité, désinstaller sans complexes !

                        Envoyé par lefabdu51 Voir le message
                        Si les deux types de fichiers sont present, c est que tu n as pas utilisé la bonne methode pour les créer.
                        Pourquoi tu dis cela ?
                        C'est juste qu'ils sont réapparus lors d'une mise à jour.
                        "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                        https://www.graphiquedesign-bf.com/

                        Commentaire


                        • #13
                          Re : Pour + de sécurité, désinstaller sans complexes !

                          Envoyé par GraphiqueDesign Voir le message
                          Pourquoi tu dis cela ?
                          C'est juste qu'ils sont réapparus lors d'une mise à jour.
                          s ils sont reapparu, c est qu il y a eu des modifs. tu devrais faire un diff entre les deux.....

                          Commentaire


                          • #14
                            Re : Pour + de sécurité, désinstaller sans complexes !

                            Envoyé par lefabdu51 Voir le message
                            s ils sont reapparu, c est qu il y a eu des modifs. tu devrais faire un diff entre les deux.....
                            Oui bien sûr, mon .htaccess et mon robot.txt ont été personnalisés, ce qui me semble être une démarche normale, non ?
                            "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                            https://www.graphiquedesign-bf.com/

                            Commentaire


                            • #15
                              Re : Pour + de sécurité, désinstaller sans complexes !

                              Je viens de jeter un œil sur les patch de mises à jour : il semble qu'il y ai toujours ces fichiers robots.txt.dist et web.config.dist
                              A une époque même, c'était robots.txt qui était systématiquement écrasé, jusqu'à ce que robots.txt.dist le remplace dans les mises à jour, afin d'éviter cet écrasement.
                              "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                              MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X