- Forums
- Sécurité Joomla!
- Informations et alertes
- protection du dossier administrator par htaccess et htpasswd
×
Les solutions aux failles de Joomla - Signaler une faille concernant Joomla ou ses extensions.
L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés
L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés
Question protection du dossier administrator par htaccess et htpasswd
- Danakyl
- Auteur du sujet
- Hors Ligne
- Membre premium
21 Mai 2009 22:18 - 10 Nov 2010 14:33 #1
par Danakyl
protection du dossier administrator par htaccess et htpasswd a été créé par Danakyl
But : ajouter une protection par une 'authentification requise' (nom d'utilisateur et mot de passe) à l'accès au dossier administrator d'un joomla! (en plus de celle prévue par joomla!) par le couple htaccess/htpasswd
Intérêt : l'un des points faibles de joomla! est que n'importe qui peut accéder à la partie "connexion à l'administration" en ajoutant un /administrator à l'url de la page d'accueil. Et alors me direz-vous ?
Principe : ajout d'un fichier .htaccess dans le dossier administator (en plus de celui ajouté à la racine du site voir ici )
1-Créer un fichier htaccess.txt avec notepad++ avec le code suivant :Important : la ligne AuthUserFile doit contenir le chemin serveur du fichier et pas l'url !
2-Il faut maintenant créer le fichier .htpasswd correspondant. Pour cela on crée un fichier htpasswd.txt (toujours avec notepad++ par exemple). On y colle le code de la forme suivante :
identifiant:motdepasse obtenu par le site : aspirine.org Surtout choisissez un identifiant et un mot de passe différents de ceux de la connexion de l'administration (sinon il n'y a plus d'intérêt !)
3-Par FTP (filezilla par exemple), on transfère le fichier htaccess.txt dans le dossier administrator et on le renomme en .htaccess on en profite pour le CHMODER en 444 (clique droit permission de fichier sous filezilla)
4-On transfère de même le fichier htpasswd.txt que l'on renomme en .htpasswd et que l'on CHMODE en 444 également !
Le tour est joué
Voilà qui devrait suffire. Maintenant quand vous tapez l'url de l'administration on vous demande votre identifiant et votre mot de passe mis dans le fichier .htpasswd (non crypté évidemment!)
Pour les utilisateurs avancés quelques astuces :
le fichier htpasswd peut prendre n'importe quel nom ! par exemple .kronounours ou .vivethorax du moment que le nom soit le même dans le htaccess.
Ce même fichier peut être mis dans un autre dossier (lui-même chmoder en 555) suffit de mettre le bon chemin toujours dans le htaccess !
Voilà n'hésitez pas à poser vos questions à l'équipe
Pour info, les hébergeurs suivant permettent d'ajouter depuis leur interface le couple htaccess/htpasswd : 1&1 et céléonet
Intérêt : l'un des points faibles de joomla! est que n'importe qui peut accéder à la partie "connexion à l'administration" en ajoutant un /administrator à l'url de la page d'accueil. Et alors me direz-vous ?
-
* Un pirate peut tenter d'accéder à votre console d'administration en essayant des mots de passe (si vous etes en Identifiant : admin et mot de passe: admin c'est la fin assuré !) voire en force brute !
-
* Si un hacker a réussi par une méthode quelconque (une injection SQL par exemple) à pirater vos indentifiants et mots de passe, il peut prendre le contrôle du site par l'administration.
Principe : ajout d'un fichier .htaccess dans le dossier administator (en plus de celui ajouté à la racine du site voir ici )
1-Créer un fichier htaccess.txt avec notepad++ avec le code suivant :
<Files .htaccess>
order allow,deny
deny from all
</Files>
AuthUserFile /var/www/.htpasswd
AuthGroupFile /dev/null
AuthName "Accès restreint,veuillez vous identifier"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>
2-Il faut maintenant créer le fichier .htpasswd correspondant. Pour cela on crée un fichier htpasswd.txt (toujours avec notepad++ par exemple). On y colle le code de la forme suivante :
identifiant:motdepasse obtenu par le site : aspirine.org Surtout choisissez un identifiant et un mot de passe différents de ceux de la connexion de l'administration (sinon il n'y a plus d'intérêt !)
3-Par FTP (filezilla par exemple), on transfère le fichier htaccess.txt dans le dossier administrator et on le renomme en .htaccess on en profite pour le CHMODER en 444 (clique droit permission de fichier sous filezilla)
4-On transfère de même le fichier htpasswd.txt que l'on renomme en .htpasswd et que l'on CHMODE en 444 également !
Le tour est joué
Voilà qui devrait suffire. Maintenant quand vous tapez l'url de l'administration on vous demande votre identifiant et votre mot de passe mis dans le fichier .htpasswd (non crypté évidemment!)
Pour les utilisateurs avancés quelques astuces :
le fichier htpasswd peut prendre n'importe quel nom ! par exemple .kronounours ou .vivethorax du moment que le nom soit le même dans le htaccess.
Ce même fichier peut être mis dans un autre dossier (lui-même chmoder en 555) suffit de mettre le bon chemin toujours dans le htaccess !
Voilà n'hésitez pas à poser vos questions à l'équipe
Pour info, les hébergeurs suivant permettent d'ajouter depuis leur interface le couple htaccess/htpasswd : 1&1 et céléonet
Dernière édition: 10 Nov 2010 14:33 par lavsteph. Raison: mise à jour icônes sujet
Connectez-vous ou Créer un compte pour participer à la conversation.
- lotfi_universal
- Hors Ligne
- V.I.P
22 Mai 2009 12:26 #2
par lotfi_universal
Pas de support en MP sans y être invité.
Merci de vous conformer aux règles du forum
Réponse de lotfi_universal sur le sujet Re:protection du dossier administrator par htaccess et htpasswd
bonjour,
très bon tuto Danakyl! merci pour ces infos
très bon tuto Danakyl! merci pour ces infos
Pas de support en MP sans y être invité.
Merci de vous conformer aux règles du forum
Connectez-vous ou Créer un compte pour participer à la conversation.
- Danakyl
- Auteur du sujet
- Hors Ligne
- Membre premium
22 Mai 2009 14:29 #3
par Danakyl
Réponse de Danakyl sur le sujet Re:protection du dossier administrator par htaccess et htpasswd
De rien c'est fait pour ! J'en profite pour ajouter que ceux qui sont chez l'hébergeur céléonet peuvent ajouter le couple htaccess et htpasswd par la console de l'hébergeur (ce qui est encore plus pratique).
Connectez-vous ou Créer un compte pour participer à la conversation.
- lavsteph
- Hors Ligne
- V.I.P
- Fondateur
Réduire
Plus d'informations
- Messages : 9394
- Remerciements reçus 500
22 Mai 2009 15:07 #4
par lavsteph
Réponse de lavsteph sur le sujet Re:protection du dossier administrator par htaccess et htpasswd
Bonjour,
tout bien ce petit tutoriel, il sera utile à plus d'un. Merci
tout bien ce petit tutoriel, il sera utile à plus d'un. Merci
Connectez-vous ou Créer un compte pour participer à la conversation.
- lebow
- Hors Ligne
- Membre junior
Réduire
Plus d'informations
- Messages : 14
- Remerciements reçus 0
09 Juil 2009 08:43 #5
par lebow
Réponse de lebow sur le sujet Re:protection du dossier administrator par htaccess et htpasswd
Danakyl écrit:
Oui, chez 1&1 aussi, merci encore pour le tuto
De rien c'est fait pour ! J'en profite pour ajouter que ceux qui sont chez l'hébergeur céléonet peuvent ajouter le couple htaccess et htpasswd par la console de l'hébergeur (ce qui est encore plus pratique).
Oui, chez 1&1 aussi, merci encore pour le tuto
Connectez-vous ou Créer un compte pour participer à la conversation.
- Danakyl
- Auteur du sujet
- Hors Ligne
- Membre premium
09 Juil 2009 09:47 #6
par Danakyl
Réponse de Danakyl sur le sujet Re:protection du dossier administrator par htaccess et htpasswd
De rien et merci pour l'info pour 1&1 je l'ajoute au tuto
Connectez-vous ou Créer un compte pour participer à la conversation.
Droit d'accès du forum
- Vous ne pouvez pas: Créer un nouveau sujet.
- Vous ne pouvez pas: Répondre au sujet.
- Vous ne pouvez pas: Éditer votre message.
Modérateurs: lavsteph, xillibit, tramber91, Scottux, serge, starter
- Forums
- Sécurité Joomla!
- Informations et alertes
- protection du dossier administrator par htaccess et htpasswd
Temps de génération de la page : 0.304 secondes