Sécuriser son site et intentions malveillantes

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Sécuriser son site et intentions malveillantes

    Bonjour à tous

    Je cherche à sécurisé mon site et enlever le maximum de vulnérabilités :
    • Par le fichier .htaccess ?
    • Par des extension tierces solides ?
    Sur ce point j'ai installé : Website GEO Protection for Joomla mais je le trouve très limité en free et les prix un peu prohibitifs pour aller plus loin,
    • Les deux ?

    Avez-vous des suggestions d'extensions tierces pour éviter tout type d'intentions malveillantes ?

    Merci de votre collaboration et de vous lire.

    Andéa

  • #2
    Salut,

    Envoyé par Andéa Voir le message
    Avez-vous des suggestions d'extensions tierces pour éviter tout type d'intentions malveillantes ?
    Peut-être Admin Tools d'Akeeba.
    C'est une des extensions les plus populaires sur cette question :


    Elle permet de gérer beaucoup de choses et bien sûr de générer un fichier htaccess selon de nombreux paramètres.
    Perso, je l'utilise sur des dizaines de sites et n'ai, à ce jour, jamais eu le moindre problème malgré des attaques et tentatives d'intrusion régulières.
    Dernière édition par dolmenhir à 03/11/2021, 19h37
    Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
    Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
    Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

    Commentaire


    • #3
      Bonjour et merci de votre réponse,
      Vous utilisez la version Free ou Pro ?

      La pro permet elle de bloquer des IP par pays ou par joker (style xxx.xxx.*) ?

      Cordialement

      Commentaire


      • #4
        J'utilise la version Pro, car elle dispose de bien plus de fonctionnalités que la gratuite.
        Elle ne permet pas de bloquer les IP pas pays (avant oui avec leur plugin GeoIp mais cela a été abandonné), par contre oui, elle permet de bloquer les IP en définissant des plages d'adresses

        Exemples :
        • Simple IP : 192.168.1.1
        • Plage de simples IP : 192.168.1.1-192.168.1.255
        • Plage implicite : 192.168.1.
        • CIDR (Classless Inter-Domain Routing) : 192.168.1.0/24
        De la même manière, vous pouvez créer une liste d'ip en liste blanche, voire simplement créer des exceptions qui ne seront jamais bloquées (comme votre propre IP) au cas où vous n'activeriez pas le système de liste blanche.
        Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
        Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
        Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

        Commentaire


        • #5
          Pour compléter dolmenhir : attention, parfois certains bloquent la connexion à "toutes les IPs étrangères" p ex. Conclusion : les moteurs de recherche ne peuvent plus accéder au site et le ce dernier n'est plus indexé

          Bref, juste pour dire qu'il faut toujours faire la balance coût/bénéfice.
          Présentations : slides.woluweb.be | Coordonnées complètes : www.woluweb.be

          Un message d’erreur sur votre site Joomla... ayez le reflexe de consulter la base de connaissance : https://kb.joomla.fr

          Ce forum, vous l'aimez ? Il vous a sauvé la vie ? Vous y apprenez régulièrement ? Alors adhérer à l'AFUJ, l'Association Francophone des Utilisateurs de Joomla : https://www.joomla.fr/association/adherer

          Commentaire


          • #6
            Bonjour

            J'ai toujours trouvé cela "violent" p.ex. un francophone qui serait véritablement intéressé par ton site mais habitant p.ex. en Ukraine se verrait interdit d'accès ? Pourquoi ? C'est brutal et surtout inutile puisqu'il est aisé d'utiliser un VPN ou des machines zombies (des serveurs qui auraient été piraté de par le monde et qui sont utilisées pour mener les attaques).

            Un pirate serait juste le plus grand des débutants s'il utilisait sa propre IP.
            woluweb aime ceci.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Bonjour,

              Question sécurité, j’installe « de suite » toutes mises à jour système et extensions tierces, et je sécurise le dossier « administrator » par identifiant + mot de passe.

              Je n’ai jamais eu de problème.

              Commentaire


              • #8
                Ce que précisent woluweb et cavo789 est tout à fait juste et pertinent.
                D'ailleurs, à titre d'exemple, j'ai un de mes clients dont ses agents commerciaux se déplacent régulièrement à l'étranger, dont l'Asie d'où proviennent nombres d'attaques.
                Si je bloque cette zone d'IPs, leurs commerciaux n'ont plus accès au site (à moins d'utiliser un VPN, ce qui n'est pas le cas de tous) alors qu'ils en ont besoin.
                Personnellement, je fais plutôt confiance à l'algorithme d'Admin Tool et aux règles de blocage que j'ai paramétré dont une, relativement stricte qui bloque toute IP pendant 15 jours au bout de 3 actions jugées critiques dans les 24 heures (et les bots sont généralement beaucoup plus agressifs que ça).
                Cela calme bien les bots, alors que les personnes qui se sentent illégitimement bloquées n'hésitent pas à prendre contact, suivant en cela l'invitation du message qui leur apparaît à l'écran.
                woluweb aime ceci.
                Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
                Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
                Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

                Commentaire


                • #9
                  Bien merci,

                  pour tous ces retours d'expériences !!!

                  Je vais m'axer sur Akeeba Tools Pro la version Free semble un peu légère.

                  Je ne ferme pas le fil, car je pense y revenir pour parler encore vulnérabilité(s).

                  J'en rencontrai lors d'un Joomla Day un membre de l'AFUJ qui m'a proposé un PDF avec pas mal de modification dans le .htaccess

                  A plus donc et merci de vos retours à tous !

                  Andéa.
                  Dernière édition par Andéa à 04/11/2021, 16h05 Raison: corrections diverses

                  Commentaire


                  • #10
                    Envoyé par Andéa Voir le message
                    J'en rencontrai lors d'un Joomla Day un membre de l'AFUJ qui m'a proposé un PDF avec pas mal de modification dans le .htaccess
                    En voici quelques-unes : https://github.com/cavo789/htaccess

                    Il s'agit d'un bon nombre de règles que j'écrivais au travers de mon outil aeSecure dans le .htaccess des sites protégés.

                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire


                    • #11
                      Bonjour,

                      Oui c'est toi !
                      Un superbe projet aeSecure où il en est ?

                      Je vais consulter cela de suite !

                      Merci.

                      Commentaire


                      • #12
                        Merci pour ton appréciation. J'ai stoppé le projet aeSecure qui me demandait beaucoup de temps pour un retour financier faible. La Belgique n'est pas du tout un paradis fiscal ;-)
                        Christophe (cavo789)
                        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                        Commentaire


                        • #13
                          Envoyé par cavo789 Voir le message
                          La Belgique n'est pas du tout un paradis fiscal ;-)
                          En France, c'est carrément l'enfer !

                          Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
                          Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
                          Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

                          Commentaire

                          Annonce

                          Réduire
                          Aucune annonce pour le moment.

                          Partenaire de l'association

                          Réduire

                          Hébergeur Web PlanetHoster
                          Travaille ...
                          X