×
Les solutions aux failles de Joomla - Signaler une faille concernant Joomla ou ses extensions.
L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés
L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés
Question Protection d'un site joomla!
02 Mai 2009 11:04 - 10 Nov 2010 14:31 #1
par Danakyl
Protection d'un site joomla! a été créé par Danakyl
Je me permets de faire un résumé pour la protection des sites joomla! Je pense que cela peut servir notamment aux nouveaux dans le domaine 
Je crois d'abord qu'il est important de bien comprendre que le temps ou on pouvait créer un site le mettre en ligne et ne plus s'en occuper du tout est révolu depuis longtemps (à moins d'être un inconditionnel de frontpage...argh
).
Voici quelques règles à suivre à mon avis pour éviter les gros ennuis :
Je crois d'abord qu'il est important de bien comprendre que le temps ou on pouvait créer un site le mettre en ligne et ne plus s'en occuper du tout est révolu depuis longtemps (à moins d'être un inconditionnel de frontpage...argh
).Voici quelques règles à suivre à mon avis pour éviter les gros ennuis :
- Avoir toujours son site à jour avec la dernière version (les patchs corrigent les failles de sécurités découvertes) Il faut donc suivre l'actualité de joomla!
- Cela devrait suffire sauf que l'on ajoute toujours des composants, modules etc. Il faut dans un premier temps bien les choisir car ils peuvent présenter des failles de sécurité que joomla! ne pourra pas contrer. Exemple, le module trouvé sur joomla.org dont la dernière mise à jour date de janvier 2007...
- Comme on vérifie les derniers versions de joomla! il faut donc aussi vérifier les mises à jours de ces composants modules etc. et les patcher si besoin !
- Ajout de Jsecure authentification
- Ajout du plugin S********e : voir Google ou de l'excellente alternative Crawlprotect (merci Lavsteph, ajout au 17/02/2010)
- Ajout d'une protection des formulaires (par exemple pour com_contact et com_user)
- Tout bête mais avoir de bons identifiants et mot de passe pour l'accès en administrator : si vous etes encore en utilisateur admin et mot de passe admin il va vite y avoir un problème!! (Voir ce sujet )
- Ajouter un htpasswrd sur l'accès au dossier administrator (certains hébergeurs le propose dans leurs options comme c'est le cas pour celeonet ! mais on peut l'ajouter manuellement)
- Avoir un bon htaccess !
- Sauvegarder sa base et ses fichiers régulièrement et les mettre en lieu sur !!!
- Chmoder certains fichiers sensibles ! (merci lavsteph)
comme : .htaccess configuration.php index.php index2.php de la racine du site (attention lors des mises à jour de joomla! à repasser ces fichiers en 644 avant de faire l'upload via ftp !!) (merci Compte supprimé) ainsi que index.php index2.php et index3.php du répertoire administrator. Chmoder également en 444 (voire 400 si l'hébergeur le permet...) les fichiers css des templates du site et de la partie admin. et pour finir le fichier s********e.xml (voir n°5) Ajout au 04/05/09
- Voilà avec cela il y a de que voir venir !
- A retenir : cela demande du travail c'est évident. Il faut en avoir conscience.!
02 Mai 2009 15:06 #2
par lotfi_universal
Pas de support en MP sans y être invité.
Merci de vous conformer aux règles du forum
Réponse de lotfi_universal sur le sujet Re:Protection d'un site joomla!
bonjour,
Merci Danakyl ! ces informations seront surement très précieuses
Merci Danakyl ! ces informations seront surement très précieuses
Pas de support en MP sans y être invité.
Merci de vous conformer aux règles du forum
04 Mai 2009 19:48 #3
par lavsteph
Réponse de lavsteph sur le sujet Re:Protection d'un site joomla!
Bonsoir Danakyl,
bravo tu as fait un très résumé des bases que tout webmaster sous Joomla devrait appliquer, conseils trop souvent oubliés.
Je vais rajouter une choses qui a aussi son importance, l'hébergement et son hébergeur.
Pour pouvoir appliquer de bonnes règles comme la gestion du .htaccess et .htapassowrd et la possibilité de Chmoder certains fichiers sensibles. Il faut que l'hébergeur le permette donc on oubliera d'office les hébergeurs gratuits qui ne proposent pas ce type d'option.
Comme tu le dis si bien
En résumé cela a aussi un coup financier, relativement abordable pour un petit site mais qui peut vite aussi devenir conséquent pour d'autres, à ne pas oublier.
bravo tu as fait un très résumé des bases que tout webmaster sous Joomla devrait appliquer, conseils trop souvent oubliés.
Je vais rajouter une choses qui a aussi son importance, l'hébergement et son hébergeur.
Pour pouvoir appliquer de bonnes règles comme la gestion du .htaccess et .htapassowrd et la possibilité de Chmoder certains fichiers sensibles. Il faut que l'hébergeur le permette donc on oubliera d'office les hébergeurs gratuits qui ne proposent pas ce type d'option.
Comme tu le dis si bien
A retenir : cela demande du travail c'est évident. Il faut en avoir conscience
En résumé cela a aussi un coup financier, relativement abordable pour un petit site mais qui peut vite aussi devenir conséquent pour d'autres, à ne pas oublier.
04 Mai 2009 20:58 #4
par Danakyl
Réponse de Danakyl sur le sujet Re:Protection d'un site joomla!
Merci à tous pour vos compliments, cela me va droit au coeur !
J'ai beaucoup appris sur la sécurité de joomla! grâce aux différents forums (et Compte supprimé notamment). Il était normal que je transmette à mon tour ce que j'avais appris ! (et si cela peut en rassurer certains tout cela est parti d'un hacking d'un de mes sites il y a plus d'un an maintenant)
Who's next for the Compte supprimé mania?
(au passage lavsteph j'adore ta façon d'écrire .htapassowrd !!
)
J'ai beaucoup appris sur la sécurité de joomla! grâce aux différents forums (et Compte supprimé notamment). Il était normal que je transmette à mon tour ce que j'avais appris ! (et si cela peut en rassurer certains tout cela est parti d'un hacking d'un de mes sites il y a plus d'un an maintenant)
Who's next for the Compte supprimé mania?
(au passage lavsteph j'adore ta façon d'écrire .htapassowrd !!
)
05 Mai 2009 19:30 #5
par lavsteph
Réponse de lavsteph sur le sujet Re:Protection d'un site joomla!
Danakyl écrit:
Bonsoir,
je ne risque de ne pas dire mieux, vu ce que l'on nous promet sur le papier (si l'on peut dire )
Mon inquiétude se situe surtout au niveau du développement des extensions, qui est bien loin d'être ce qu'il devrait être, vu que ce qui fonctionne sous 1.5 ne présentera pas obligatoirement compatible sous 1.6
En attente de la 1.6 également !!
Bonsoir,
je ne risque de ne pas dire mieux, vu ce que l'on nous promet sur le papier (si l'on peut dire
)Mon inquiétude se situe surtout au niveau du développement des extensions, qui est bien loin d'être ce qu'il devrait être, vu que ce qui fonctionne sous 1.5 ne présentera pas obligatoirement compatible sous 1.6
05 Mai 2009 19:37 #6
par lotfi_universal
Pas de support en MP sans y être invité.
Merci de vous conformer aux règles du forum
Réponse de lotfi_universal sur le sujet Re:Protection d'un site joomla!
lavsteph écrit:
sur ce point je te rassure! tout sera compatible, la différence entre les extensions de la version 1.0 et 1.5 c'est le respect d'un protocole de développement avec des petites différences au niveau de la base de données de deux versions
les extensions de la version 1.5 respectent le modèle MVC, et les futures pour la version 1.6 le seront.
la différence est au niveau de l'ACL, et ce ACL ne va pas affecter la structure...
bonsoir,Danakyl écrit:
En attente de la 1.6 également !!
Bonsoir,
je ne risque de ne pas dire mieux, vu ce que l'on nous promet sur le papier (si l'on peut dire
Mon inquiétude se situe surtout au niveau du développement des extensions, qui est bien loin d'être ce qu'il devrait être, vu que ce qui fonctionne sous 1.5 ne présentera pas obligatoirement compatible sous 1.6
sur ce point je te rassure! tout sera compatible, la différence entre les extensions de la version 1.0 et 1.5 c'est le respect d'un protocole de développement avec des petites différences au niveau de la base de données de deux versions
les extensions de la version 1.5 respectent le modèle MVC, et les futures pour la version 1.6 le seront.
la différence est au niveau de l'ACL, et ce ACL ne va pas affecter la structure...
Pas de support en MP sans y être invité.
Merci de vous conformer aux règles du forum
Droit d'accès du forum
- Vous ne pouvez pas: Créer un nouveau sujet.
- Vous ne pouvez pas: Répondre au sujet.
- Vous ne pouvez pas: Éditer votre message.
Modérateurs: lavsteph, xillibit, tramber91, Scottux, serge, starter
Temps de génération de la page : 0.288 secondes