fonctionnement de Aesecure sur J3.10.11 avant migration J4.

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] fonctionnement de Aesecure sur J3.10.11 avant migration J4.

    Bonjour,
    Suite à la mise à jour de PHP vers la version 8.0 chez IONOS, j'ai rencontré un message d'erreur en voulant aller sur l'admin Aesecure. Après exploration du forum, j'ai trouvé la ligne de code à modifier dans le fichier ligne 22 de setting.php et setting.json : Merci à son auteur !!!. Grace à cette modification, j'ai retrouvé l'accès à Aesecure (voir photo). Mais il semble inopérant !
    Plus grave, je n'avais plus accès à l'admin de mon site de production, ni à sa copie en vue de la migration vers J4.
    Après bien des recherches, j'ai renommé les .htacces des deux sites en, .txt et j'ai retrouvé le plein accès à mes admins.
    Ma question est la protection de l'admin ! Vu que le .htaccess est inopérant !!
    Comment protéger ces répertoires (ce que faisait Aesecure) ? Peut-être suffit 'il de modifier le fichier .htaccess et .htpasswd ! Mais je ne sais pas faire ...
    Autre question : Si je supprime totalement Aesecure, QUID des .htaccess mis dans les répertoires ??
    Cet outil n'étant plus mis à jour ni entretenu, il me faut trouver une solution avant de migrer sur J4.
    Mon site : www.http://www.aeroclub-montceau-creusot.fr/
    En PJ les 2 fichiers concernés, et une photo de la page aesecure.

    Merci beaucoup de votre aide !!

    Bien cordialement,
    JMN
    Fichiers joints
    Dernière édition par reyon71 à 18/01/2023, 09h24

  • #2
    Bonjour

    Avant toute chose (comme tu le sais), aeSecure n'est plus développé ni maintenu depuis fin 2019 si je ne m'abuse (j'hésite même si ce n'était pas 2018).

    Envoyé par reyon71 Voir le message
    Mais il semble inopérant !
    Personnellement (et j'étais le développeur d'aeSecure), je ne l'ai jamais utilisé sous PHP 8. Certains utilisateurs m'ont déjà fait part de leurs tentatives et qu'ils ont dû faire des petites retouches mais qu'ils ont bien vite abandonné et passé sur un autre logiciel. .

    Envoyé par reyon71 Voir le message
    Plus grave, je n'avais plus accès à l'admin de mon site de production, ni à sa copie en vue de la migration vers J4. Après bien des recherches, j'ai renommé les .htacces des deux sites en, .txt et j'ai retrouvé le plein accès à mes admins.
    Ma question est la protection de l'admin ! Vu que le .htaccess est inopérant !!
    Là, aeSecure n'y est strictement pour rien. Le logiciel PHP d'aeSecure est une chose, les fichiers .htaccess en sont une autre.

    Tu as posté le fichier .htaccess (top!) et je peux voir la ligne AuthUserFile "/homepages/32/d392987430/htdocs/administrator/.htpasswd", du coup je me demande si le chemin est toujours correct; c'est juste une piste de réflexion...

    Envoyé par reyon71 Voir le message
    Comment protéger ces répertoires (ce que faisait Aesecure) ? Peut-être suffit 'il de modifier le fichier .htaccess et .htpasswd ! Mais je ne sais pas faire ...
    Comme l'illustre le fichier .htaccess posté, il s'agit d'une protection à base d'un fichier .htpasswd; tu trouveras sur http://aspirine.org/htpasswd.html un générateur d'un tel ficheir.

    Envoyé par reyon71 Voir le message
    Autre question : Si je supprime totalement Aesecure, QUID des .htaccess mis dans les répertoires ??!
    Les fichiers .htaccess sont génériques à Apache, tu peux supprimer l'outil aeSecure, les fichiers .htaccess continueront donc à fonctionner. Aucun souci.
    Toutefois comme ces fichiers ont maintenant quatre ans ou plus, il est peut-être bon de les supprimer pour opter alors pour un autre outil (p.ex. Akeeba Admin Tools) qui proposerait alors une autre façon de travailler.

    Bonne journée.
    Christophe (cavo789)
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
    Mes logiciels OpenSource : https://www.avonture.be

    Commentaire


    • #3
      Bonjour.

      Je suis passé à Joomla 4 (et PHP8) voilà quelques mois. Il me semble que j'avais paramétré aesecure alors que j'étais encore en php7 puis passé en php8.
      Le "logiciel" lui-même ne fonctionne plus sous php8 mais le .htaccess fait toujours son office.

      Du coup, par sécurité, j'ai copié le code du .htaccess produit par aesecure et l'ai placé en sûreté dans mes archives afin de pouvoir le réutiliser partout où je le souhaite.

      Je serais bien passé à une solution plus récente et actuelle, mais le budget pour mon site est déjà dépassé.
      Cordialement.
      __
      Eddy !!!
      Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

      Commentaire


      • #4
        Bonjour,

        Comme je l'ai dit dans une autre discussion, pour passer en PHP 8, il faut modifier dans le fichier principal les "curly braces" qui n'y sont plus acceptés. Il faut aussi éventuellement ajouter les versions de PHP dans un autre fichier, j'ai oublié lequel , mais c'est facultatif puisque ça ne sert qu'à signaler d'éventuelles versions plus récentes de PHP.

        Le plus gênant à mon avis est qu'avec la suppression du site aesecure.com, on n'a plus les modèles qu'il était précédemment possible d'importer.
        Il faudrait que je retrouve le ou les sites où j'avais fait ces corrections ou que je les reproduise sur un site J4 pour pouvoir expliquer quoi faire.
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

        Commentaire


        • #5
          Envoyé par RobertG Voir le message
          Il faut aussi éventuellement ajouter les versions de PHP dans un autre fichier, j'ai oublié lequel , mais c'est facultatif puisque ça ne sert qu'à signaler d'éventuelles versions plus récentes de PHP.
          En effet. Il s'agit du fichier config/settings.json mais c'est purement optionnel.

          Envoyé par RobertG Voir le message
          Le plus gênant à mon avis est qu'avec la suppression du site aesecure.com, on n'a plus les modèles qu'il était précédemment possible d'importer.
          Tu as raison mais cela ne concernait que les licenses pro.

          Christophe (cavo789)
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
          Mes logiciels OpenSource : https://www.avonture.be

          Commentaire


          • #6
            [

            Tu as posté le fichier .htaccess (top!) et je peux voir la ligne AuthUserFile "/homepages/32/d392987430/htdocs/administrator/.htpasswd", du coup je me demande si le chemin est toujours correct; c'est juste une piste de réflexion...



            Comme l'illustre le fichier .htaccess posté, il s'agit d'une protection à base d'un fichier .htpasswd; tu trouveras sur http://aspirine.org/htpasswd.html un générateur d'un tel ficheir.



            Les fichiers .htaccess sont génériques à Apache, tu peux supprimer l'outil aeSecure, les fichiers .htaccess continueront donc à fonctionner. Aucun souci.
            Toutefois comme ces fichiers ont maintenant quatre ans ou plus, il est peut-être bon de les supprimer pour opter alors pour un autre outil (p.ex. Akeeba Admin Tools) qui proposerait alors une autre façon de travailler.

            Bonne journée.[/QUOTE]

            Bien vu ! Merci, en effet le chemin n'était pas bon !! J'ai modifié le htaccess et tout est ok maintenant ! Super !
            J'ai une question : Si je garde aesecure en l'état, cela posera t'il un pb lors de la migration vers J4 ???

            Bonne journée, ici il neige !

            Commentaire


            • #7
              Pour ce qui est de la migration en J4, je n'ai pas le souvenir d'incidents en lien avec aeSecure, et pourtant j'ai migré pas mal de sites qui l'utilisaient.
              Il n'y a que l'accès à sa page principale qui m'a semblé touché au passage en PHP 8.
              cavo789 aime ceci.
              "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
              MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

              Commentaire


              • #8
                Envoyé par reyon71 Voir le message
                [
                Bien vu ! Merci, en effet le chemin n'était pas bon !! J'ai modifié le htaccess et tout est ok maintenant ! Super !
                J'ai une question : Si je garde aesecure en l'état, cela posera t'il un pb lors de la migration vers J4 ???
                Comme mentionné plus haut (et tu as pu le confirmer en récupérant ton admin); aeSecure est (était) une interface de gestion qui permettait de configurer des règles et de déposer ici et là des fichiers .htaccess. Ces fichiers-là sont génériques; que ce soit pour Joomla ou WP ou ... Ils sont rédigés dans la "langue" de Apache (ton serveur web) qui est donc totalement indépendant de Joomla.

                Donc, en toute logique, ces fichiers seront même compatibles pour Joomla 5.

                C'est l'interface PHP d'aeSecure qui est impactée par PHP 8; pas la protection en place.

                Christophe (cavo789)
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                Mes logiciels OpenSource : https://www.avonture.be

                Commentaire


                • #9
                  Petite remarque en passant : chez la plupart des hébergeurs, on peut spécifier une version PHP différente par dossier.
                  Donc strictement dit, si je devais/voulais accéder à mon interface aeSecure pour une raison et une autre, je peux toujours
                  - laisser mon site en PHP8.x
                  - mais basculer le dossier aeSecure en PHP7.4
                  cavo789 aime ceci.
                  Présentations : slides.woluweb.be | Coordonnées complètes : www.woluweb.be

                  Un message d’erreur sur votre site Joomla... ayez le reflexe de consulter la base de connaissance : https://kb.joomla.fr

                  Ce forum, vous l'aimez ? Il vous a sauvé la vie ? Vous y apprenez régulièrement ? Alors adhérer à l'AFUJ, l'Association Francophone des Utilisateurs de Joomla : https://www.joomla.fr/association/adherer

                  Commentaire


                  • #10
                    Personnellement, je n'ai rencontré la possibilité de personnalisation de PHP que pour des sites (domaine ou sous-domaine), sauf OVH et son ovhconfig, mais sauf erreur, il n'est plus possible d'utiliser ce fichier que pour la racine et un niveau au-dessus (si quelqu'un peut confirmer ou infirmer ?), ce qui voudrait dire que le fichier qui serait dans "www/aesecure" ne serait pas pris en compte car au troisième niveau des dossiers.

                    Cela dit, je viens de tester sur un site en 4.2.6 et aeSecure Pro : avec PHP 8.0 et les modifications que j'avais faites, la personnalisation du .htaccess ne m'a pas posé de problème. Il y a des fonctionnalités qui semblent devenues inutilisables, je n'ai pas noté quoi.
                    En version 8.1 de PHP, j'ai d'abord eu une désorganisation du site. Retour en 8.0 et récupération de l'affichage ; nouveau passage en 8.1 et plus de problème.
                    Mais à l'usage, en 8.0, la modification en passant par le pop-up, pour un article par exemple est impossible : Accès refusé
                    Code : 271 - L'URL contient des caractères non autorisés
                    En version 8.1 en plus (débogage et rapport d'erreurs au maximum), des erreurs à venir en 8.2
                    Cliquez sur l'image pour l'afficher en taille normale

Nom : Capture d’écran 2023-01-17 123920.jpg 
Affichages : 39 
Taille : 47,5 Ko 
ID : 2047174
                    Le plus gênant à mon sens est ce blocage des pop-ups de modification, bien pratiques.
                    Il faudrait vérifier si c'est aussi le cas en version 3.10.11
                    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                    Commentaire


                    • #11
                      Merci de votre aide et de vos précisions qui m'ont permis de corriger mes erreurs et de me préparer à migrer mon site vers J4 !
                      Je mets ce message en "réglé" !!

                      A bientôt pour d'autres sujets !
                      JMN

                      Commentaire

                      Annonce

                      Réduire
                      1 sur 2 < >

                      C'est [Réglé] et on n'en parle plus ?

                      A quoi ça sert ?
                      La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                      Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                      Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                      Comment ajouter la mention [Réglé] à votre discussion ?
                      1 - Aller sur votre discussion et éditer votre premier message :


                      2 - Cliquer sur la liste déroulante Préfixe.

                      3 - Choisir le préfixe [Réglé].


                      4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                      2 sur 2 < >

                      Assistance au forum - Outil de publication d'infos de votre site

                      Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                      Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                      Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                      UTILISER À VOS PROPRES RISQUES :
                      L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                      Problèmes connus :
                      FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                      Installation :

                      1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                      Archive zip : https://github.com/AFUJ/FPA/zipball/master

                      2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                      3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                      4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                      5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                      6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                      et remplacer www. votresite .com par votre nom de domaine


                      Exemples:
                      Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/
                      Pour executer le script: http://www..com/fpa-fr.php

                      Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/cms/
                      Pour executer le script: http://www..com/cms/fpa-fr.php

                      En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                      Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                      Voir plus
                      Voir moins

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X