× Les solutions aux failles de Joomla - Signaler une faille concernant Joomla ou ses extensions.
L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés

Question protection du dossier administrator par htaccess et htpasswd

Plus d'informations
21 Mai 2009 22:18 - 10 Nov 2010 14:33 #1 par Danakyl
But : ajouter une protection par une 'authentification requise' (nom d'utilisateur et mot de passe) à l'accès au dossier administrator d'un joomla! (en plus de celle prévue par joomla!) par le couple htaccess/htpasswd B)

Intérêt : l'un des points faibles de joomla! est que n'importe qui peut accéder à la partie "connexion à l'administration" en ajoutant un /administrator à l'url de la page d'accueil. Et alors me direz-vous ?
    * Un pirate peut tenter d'accéder à votre console d'administration en essayant des mots de passe (si vous etes en Identifiant : admin et mot de passe: admin c'est la fin assuré !) voire en force brute !
    * Si un hacker a réussi par une méthode quelconque (une injection SQL par exemple) à pirater vos indentifiants et mots de passe, il peut prendre le contrôle du site par l'administration.
C'est à ce niveau que l'on va le bloquer en ajoutant le couple htaccess / htpasswd ;)

Principe : ajout d'un fichier .htaccess dans le dossier administator (en plus de celui ajouté à la racine du site voir ici )
1-Créer un fichier htaccess.txt avec notepad++ avec le code suivant :
<Files .htaccess>
order allow,deny
deny from all
</Files>
AuthUserFile /var/www/.htpasswd
AuthGroupFile /dev/null
AuthName "Accès restreint,veuillez vous identifier"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>
Important : la ligne AuthUserFile doit contenir le chemin serveur du fichier et pas l'url !

2-Il faut maintenant créer le fichier .htpasswd correspondant. Pour cela on crée un fichier htpasswd.txt (toujours avec notepad++ par exemple). On y colle le code de la forme suivante :
identifiant:motdepasse obtenu par le site : aspirine.org Surtout choisissez un identifiant et un mot de passe différents de ceux de la connexion de l'administration (sinon il n'y a plus d'intérêt !)
3-Par FTP (filezilla par exemple), on transfère le fichier htaccess.txt dans le dossier administrator et on le renomme en .htaccess on en profite pour le CHMODER en 444 (clique droit permission de fichier sous filezilla)
4-On transfère de même le fichier htpasswd.txt que l'on renomme en .htpasswd et que l'on CHMODE en 444 également !

Le tour est joué :)
Voilà qui devrait suffire. Maintenant quand vous tapez l'url de l'administration on vous demande votre identifiant et votre mot de passe mis dans le fichier .htpasswd (non crypté évidemment!)

Pour les utilisateurs avancés quelques astuces :
le fichier htpasswd peut prendre n'importe quel nom ! par exemple .kronounours ou .vivethorax du moment que le nom soit le même dans le htaccess.
Ce même fichier peut être mis dans un autre dossier (lui-même chmoder en 555) suffit de mettre le bon chemin toujours dans le htaccess !
Voilà n'hésitez pas à poser vos questions à l'équipe ;)

Pour info, les hébergeurs suivant permettent d'ajouter depuis leur interface le couple htaccess/htpasswd : 1&1 et céléonet
Dernière édition: 10 Nov 2010 14:33 par lavsteph. Raison: mise à jour icônes sujet

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
22 Mai 2009 12:26 #2 par lotfi_universal
Réponse de lotfi_universal sur le sujet protection du dossier administrator par htaccess et htpasswd
bonjour,
très bon tuto Danakyl! merci pour ces infos ;)

Pas de support en MP sans y être invité.
Merci de vous conformer aux règles du forum

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
22 Mai 2009 14:29 #3 par Danakyl
De rien c'est fait pour ;) ! J'en profite pour ajouter que ceux qui sont chez l'hébergeur céléonet peuvent ajouter le couple htaccess et htpasswd par la console de l'hébergeur (ce qui est encore plus pratique).

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
22 Mai 2009 15:07 #4 par lavsteph
Bonjour,

tout bien ce petit tutoriel, il sera utile à plus d'un. Merci ;)

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
09 Juil 2009 08:43 #5 par lebow
Danakyl écrit:

De rien c'est fait pour ;) ! J'en profite pour ajouter que ceux qui sont chez l'hébergeur céléonet peuvent ajouter le couple htaccess et htpasswd par la console de l'hébergeur (ce qui est encore plus pratique).



Oui, chez 1&1 aussi, merci encore pour le tuto :)

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
09 Juil 2009 09:47 #6 par Danakyl
De rien et merci pour l'info pour 1&1 je l'ajoute au tuto ;)

Connectez-vous ou Créer un compte pour participer à la conversation.

  • Vous ne pouvez pas: Créer un nouveau sujet.
  • Vous ne pouvez pas: Répondre au sujet.
  • Vous ne pouvez pas: Éditer votre message.
Modérateurs: lavstephxillibittramber91Scottuxsergestarter
Temps de génération de la page : 0.086 secondes