- Forums
- Sécurité Joomla!
- Informations et alertes
- Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)
×
Les solutions aux failles de Joomla - Signaler une faille concernant Joomla ou ses extensions.
L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés
L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés
Question Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)
- Scottux
- Auteur du sujet
- Hors Ligne
- Modérateur
Réduire
Plus d'informations
- Messages : 1561
- Remerciements reçus 89
29 Aoû 2013 08:33 - 29 Aoû 2013 10:37 #1
par Scottux
Pas de support en MP sans y être invité.Merci
Merci de vous conformer aux règles du forum.
Recueil de Trucs & Astuces (Comment sécuriser son site Joomla) a été créé par Scottux
Bonjour à tous.
Un bon PDF, compréhensible pour tout le monde, avec des conseils pour sécuriser son site Joomla :
==> Recueil de trucs & astuces et bonnes pratiques du web (Site allevents.avonture.be)
Un bon PDF, compréhensible pour tout le monde, avec des conseils pour sécuriser son site Joomla :
==> Recueil de trucs & astuces et bonnes pratiques du web (Site allevents.avonture.be)
Pas de support en MP sans y être invité.Merci
Merci de vous conformer aux règles du forum.
Dernière édition: 29 Aoû 2013 10:37 par Scottux.
Les utilisateur(s) suivant ont remercié: lavsteph, cavo789, starter
Connectez-vous ou Créer un compte pour participer à la conversation.
- cavo789
- Hors Ligne
- Auteur
- Développeur d'aeSecure
29 Aoû 2013 10:24 #2
par cavo789
Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html
Réponse de cavo789 sur le sujet Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)
Merci.
Il s'agit d'une version "en cours" : j'ai souhaité publié cette première mouture afin, entre autre, de recevoir du feedback, conseils en retour, bonnes pratiques, etc. et les inclure dans un second temps.
J'ai déjà de mon côté ajouté plusieurs nouveaux slides concernant le .htaccess.
Si vous avez des suggestions, je suis, vous l'aurez compris, preneur
Au plus tard, fin Septembre, je publie une seconde version.
Bonne journée.
Il s'agit d'une version "en cours" : j'ai souhaité publié cette première mouture afin, entre autre, de recevoir du feedback, conseils en retour, bonnes pratiques, etc. et les inclure dans un second temps.
J'ai déjà de mon côté ajouté plusieurs nouveaux slides concernant le .htaccess.
Si vous avez des suggestions, je suis, vous l'aurez compris, preneur
Au plus tard, fin Septembre, je publie une seconde version.
Bonne journée.
Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html
Les utilisateur(s) suivant ont remercié: lavsteph, starter
Connectez-vous ou Créer un compte pour participer à la conversation.
- lavsteph
- Hors Ligne
- V.I.P
- Fondateur
Réduire
Plus d'informations
- Messages : 9394
- Remerciements reçus 500
03 Sep 2013 19:35 #3
par lavsteph
Réponse de lavsteph sur le sujet Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)
Bonsoir Christophe,
c'est déjà une bonne base pour les débutants, ce qui est ton but je pense.
Reste qu'il faudrait étoffer la partie extensions à ajouter selon le htaccess que l'on a mit en place.
Le risque principal que j'ai déjà vu sur beaucoup de mes interventions c'est l’accumulation de solution ( les utilisateurs pensent être tranquille en installant), ce qui conduit très souvent à des interactions voir l'annulation des protections que l'on croit avoir sur son site.
Quelques exemples
crawlprotect+admintools pro (htaccess)= non
crawltrack+crawlprotect = oui
Crawltrack+admintools pro = oui
Pour la partie meta name="generator", je fais partie des personnes qui pense que son masquage n'a aucun intérêt quand on sait comme tes pirates opèrent.
c'est déjà une bonne base pour les débutants, ce qui est ton but je pense.
Reste qu'il faudrait étoffer la partie extensions à ajouter selon le htaccess que l'on a mit en place.
Le risque principal que j'ai déjà vu sur beaucoup de mes interventions c'est l’accumulation de solution ( les utilisateurs pensent être tranquille en installant), ce qui conduit très souvent à des interactions voir l'annulation des protections que l'on croit avoir sur son site.
Quelques exemples
crawlprotect+admintools pro (htaccess)= non
crawltrack+crawlprotect = oui
Crawltrack+admintools pro = oui
Pour la partie meta name="generator", je fais partie des personnes qui pense que son masquage n'a aucun intérêt quand on sait comme tes pirates opèrent.
Connectez-vous ou Créer un compte pour participer à la conversation.
- cavo789
- Hors Ligne
- Auteur
- Développeur d'aeSecure
03 Sep 2013 23:20 #4
par cavo789
Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html
Réponse de cavo789 sur le sujet Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)
Tu es bien plus expert que moi et je n'ai pas la prétention de dire que mon recueil de conseils est une bible; donc oui, mon but, c'est de donner des pistes.
Comme toi, je ne pense pas qu'il faille multiplier les protections en tout genre; je commence d'ailleurs à me demander si CrawlProtect est vraiment utile dès lors que tu as un bon .htaccess (c'est là une des fonctions principales de CP) et que tu utilises jHackGuard et AdminTools. Je pense, dans ce scénario, que CP est superflus. C'est mon avis perso.
Pour le meta name, dans l'absolu, il n'apporte rien à laisser ou à retirer car rares seront les pirates qui vont prendre le temps "d'analyser" la page. Ces personnes-là utilisent des scripts qui fonctionnent à l'aveugle : passe ou passe pas. Comme tout ces scripts qui tentent d'utiliser une faille d'un composant com_truc alors que le composant n'est pas sur le site : les attaques se font à l'aveugle.
Toutefois, moins le pirate en sait, mieux cela vaut : si on se base sur le paragraphe ci-dessus, il est inutile de bloquer les fichiers .xml du dossier /administrator. Puisque le pirate attaque dans le noir, il ne servirait à rien de bloquer les xml et pourtant certains scripts dont p.ex. un addon firefox utilise ces fichiers pour déterminer la version Joomla du site.
En bloquant mes fichiers .xml, je bloque donc cet addon et d'autres, très probablement aussi. Est-ce une mesure de sécurité ? Cela se discute. Est-ce un gadget ? Perso, je ne pense pas : en tant qu'utilisateur "humain", je sais comment faire pour voir rapidement sur un site Joomla s'il utilise tel composant, telle version de Joomla, ... Au moins, je bloque ces personnes-là.
Je sais que certains disent que l'obfuscation ne sert pas à grand chose; ce n'est pas mon avis. Oui, cela ne changera rien pour les "vrais pirates", les scripts de type brute-force, ... mais cela bloquera les petits comiques qui ont une soirée à perdre et qui jouent aux méchants
Bonne soirée Stéphane.
Comme toi, je ne pense pas qu'il faille multiplier les protections en tout genre; je commence d'ailleurs à me demander si CrawlProtect est vraiment utile dès lors que tu as un bon .htaccess (c'est là une des fonctions principales de CP) et que tu utilises jHackGuard et AdminTools. Je pense, dans ce scénario, que CP est superflus. C'est mon avis perso.
Pour le meta name, dans l'absolu, il n'apporte rien à laisser ou à retirer car rares seront les pirates qui vont prendre le temps "d'analyser" la page. Ces personnes-là utilisent des scripts qui fonctionnent à l'aveugle : passe ou passe pas. Comme tout ces scripts qui tentent d'utiliser une faille d'un composant com_truc alors que le composant n'est pas sur le site : les attaques se font à l'aveugle.
Toutefois, moins le pirate en sait, mieux cela vaut : si on se base sur le paragraphe ci-dessus, il est inutile de bloquer les fichiers .xml du dossier /administrator. Puisque le pirate attaque dans le noir, il ne servirait à rien de bloquer les xml et pourtant certains scripts dont p.ex. un addon firefox utilise ces fichiers pour déterminer la version Joomla du site.
En bloquant mes fichiers .xml, je bloque donc cet addon et d'autres, très probablement aussi. Est-ce une mesure de sécurité ? Cela se discute. Est-ce un gadget ? Perso, je ne pense pas : en tant qu'utilisateur "humain", je sais comment faire pour voir rapidement sur un site Joomla s'il utilise tel composant, telle version de Joomla, ... Au moins, je bloque ces personnes-là.
Je sais que certains disent que l'obfuscation ne sert pas à grand chose; ce n'est pas mon avis. Oui, cela ne changera rien pour les "vrais pirates", les scripts de type brute-force, ... mais cela bloquera les petits comiques qui ont une soirée à perdre et qui jouent aux méchants
Bonne soirée Stéphane.
Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html
Connectez-vous ou Créer un compte pour participer à la conversation.
- cavo789
- Hors Ligne
- Auteur
- Développeur d'aeSecure
04 Sep 2013 14:58 #5
par cavo789
Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html
Réponse de cavo789 sur le sujet Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)
Bonjour
Pour info, je viens de publier le document en v1.0. Ce n'est donc plus un draft.
J'ai pris bonne note de tes remarques Stéphane : j'attire l'attention du lecteur sur l'inutilité d'avoir plusieurs outils similaires et j'ai utilisé un visuel sur chaque slide où le truc relève plus de l'obfuscation càd davantage l'idée de masquer une information qu'une technique sécuritaire.
Je ferai encore évoluer ce document à l'avenir si j'ai matière à le faire.
allevents.avonture.be/fr/joomla/securite...joomla-securite.html
Bonne journée.
Pour info, je viens de publier le document en v1.0. Ce n'est donc plus un draft.
J'ai pris bonne note de tes remarques Stéphane : j'attire l'attention du lecteur sur l'inutilité d'avoir plusieurs outils similaires et j'ai utilisé un visuel sur chaque slide où le truc relève plus de l'obfuscation càd davantage l'idée de masquer une information qu'une technique sécuritaire.
Je ferai encore évoluer ce document à l'avenir si j'ai matière à le faire.
allevents.avonture.be/fr/joomla/securite...joomla-securite.html
Bonne journée.
Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html
Connectez-vous ou Créer un compte pour participer à la conversation.
- starter
- Hors Ligne
- Modérateur
04 Sep 2013 15:06 #6
par starter
Pas de support en MP sans y être invité.Merci
www.aide-joomla.com
www.soulpin.fr
Réponse de starter sur le sujet Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)
Salut cavo789
erreur 404 avec ton lien
erreur 404 avec ton lien
Pas de support en MP sans y être invité.Merci
www.aide-joomla.com
www.soulpin.fr
Connectez-vous ou Créer un compte pour participer à la conversation.
Droit d'accès du forum
- Vous ne pouvez pas: Créer un nouveau sujet.
- Vous ne pouvez pas: Répondre au sujet.
- Vous ne pouvez pas: Éditer votre message.
Modérateurs: lavsteph, xillibit, tramber91, Scottux, serge, starter
- Forums
- Sécurité Joomla!
- Informations et alertes
- Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)
Temps de génération de la page : 1.410 secondes