But : ajouter une
protection par une 'authentification requise' (nom d'utilisateur et mot de passe) à l'accès au dossier administrator d'un joomla! (en plus de celle prévue par joomla!) par le couple
htaccess/htpasswd
Intérêt : l'un des points faibles de joomla! est que n'importe qui peut accéder à la partie "connexion à l'administration" en ajoutant un /administrator à l'url de la page d'accueil. Et alors me direz-vous ?
* Un pirate peut tenter d'accéder à votre console d'administration en essayant des mots de passe (si vous etes en Identifiant : admin et mot de passe: admin c'est la fin assuré !) voire en force brute !
* Si un hacker a réussi par une méthode quelconque (une injection SQL par exemple) à pirater vos indentifiants et mots de passe, il peut prendre le contrôle du site par l'administration.
C'est à ce niveau que l'on va le bloquer en ajoutant le couple htaccess / htpasswd
Principe : ajout d'un fichier
.htaccess dans le dossier administator (en plus de celui ajouté à la racine du site voir
ici
)
1-Créer un fichier htaccess.txt avec notepad++ avec le code suivant :
Code:
<Files .htaccess>
order allow,deny
deny from all
</Files>
AuthUserFile /var/www/.htpasswd
AuthGroupFile /dev/null
AuthName "Accès restreint,veuillez vous identifier"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>
Important : la ligne AuthUserFile doit contenir le chemin serveur du fichier et pas l'url !
2-Il faut maintenant créer le fichier .htpasswd correspondant. Pour cela on crée un fichier htpasswd.txt (toujours avec notepad++ par exemple). On y colle le code de la forme suivante :
identifiant:motdepasse obtenu par le site :
aspirine.org
Surtout choisissez un identifiant et un mot de passe différents de ceux de la connexion de l'administration (sinon il n'y a plus d'intérêt !)
3-Par FTP (filezilla par exemple), on transfère le fichier htaccess.txt dans le dossier administrator et on le renomme en .htaccess on en profite pour le CHMODER en 444 (clique droit permission de fichier sous filezilla)
4-On transfère de même le fichier htpasswd.txt que l'on renomme en .htpasswd et que l'on CHMODE en 444 également !
Le tour est joué

Voilà qui devrait suffire. Maintenant quand vous tapez l'url de l'administration on vous demande votre identifiant et votre mot de passe mis dans le fichier .htpasswd (non crypté évidemment!)
Pour les utilisateurs avancés quelques astuces :
le fichier htpasswd peut prendre n'importe quel nom ! par exemple .kronounours ou .vivethorax du moment que le nom soit le même dans le htaccess.
Ce même fichier peut être mis dans un autre dossier (lui-même chmoder en 555) suffit de mettre le bon chemin toujours dans le htaccess !
Voilà n'hésitez pas à poser vos questions à l'équipe
Pour info, les hébergeurs suivant permettent d'ajouter
depuis leur interface le couple htaccess/htpasswd : 1&1 et céléonet