Tweet
plugin système - En-têtes HTTP vs ext; commercial et ochStrictRouter
Bonsoir
1/ j'ai lu avec attention la discussion https://forum.joomla.fr/forum/joomla...gin-httpheader et différents liens mentionnés, mais je trouve cela un peu compliqué et depuis l'intégration le plugin a été modifié.
Je vais décrire le site type à sécuriser. Je réalise actuellement un site communautaire pour une association qui a besoin de contributions à partir de formulaire côté front-end. Celui-ci insère le minimum via tinyMCE avec des onglets remplis de champs personnalisés ACF. J'utilise aussi le formulaire convert-forms (tassos) , commentaire avec akeeba engage et un module acymailing. Ce qui devrait être (à priori) les principales sources de problèmes.
Simplement en activant le plugin puis l'onglet "Strict-Transport-Security (HSTS)" puis le dernier onglet "Content-Security-Policy (CSP)", je passe de D à B
, ce qui est déjà pas mal, peu mieux faire. Pouvez-vous me conseiller sur les règles à ajouter pour améliorer la sécurité pour ce type de site ?
2/ ochStrictRouter (https://onlinecommunityhub.nl/joomla...uter-12-months) est censé empêcher des pirates peuvent bourrer les pages de résultats des moteurs de recherche (SERP) avec de faux liens vers votre site. Est-ce qu'il y a une règle qui permettrait de ne pas installer ce plugin même si celui-ci est gratuit ?
3/ je voudrai remplacer l’achat d'un composant commercial de sécurisation par le plugin natif . Avec l'idée (peut-être) que cela fasse en grande partie le boulot. Est-ce une illusion ?
1/ j'ai lu avec attention la discussion https://forum.joomla.fr/forum/joomla...gin-httpheader et différents liens mentionnés, mais je trouve cela un peu compliqué et depuis l'intégration le plugin a été modifié.
Je vais décrire le site type à sécuriser. Je réalise actuellement un site communautaire pour une association qui a besoin de contributions à partir de formulaire côté front-end. Celui-ci insère le minimum via tinyMCE avec des onglets remplis de champs personnalisés ACF. J'utilise aussi le formulaire convert-forms (tassos) , commentaire avec akeeba engage et un module acymailing. Ce qui devrait être (à priori) les principales sources de problèmes.
Simplement en activant le plugin puis l'onglet "Strict-Transport-Security (HSTS)" puis le dernier onglet "Content-Security-Policy (CSP)", je passe de D à B
, ce qui est déjà pas mal, peu mieux faire. Pouvez-vous me conseiller sur les règles à ajouter pour améliorer la sécurité pour ce type de site ?2/ ochStrictRouter (https://onlinecommunityhub.nl/joomla...uter-12-months) est censé empêcher des pirates peuvent bourrer les pages de résultats des moteurs de recherche (SERP) avec de faux liens vers votre site. Est-ce qu'il y a une règle qui permettrait de ne pas installer ce plugin même si celui-ci est gratuit ?
3/ je voudrai remplacer l’achat d'un composant commercial de sécurisation par le plugin natif . Avec l'idée (peut-être) que cela fasse en grande partie le boulot. Est-ce une illusion ?
Commentaire