× Les solutions aux failles de Joomla - Signaler une faille concernant Joomla ou ses extensions.
L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés

Question Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)

Plus d'informations
29 Aoû 2013 08:33 - 29 Aoû 2013 10:37 #1 par Scottux
Bonjour à tous.

Un bon PDF, compréhensible pour tout le monde, avec des conseils pour sécuriser son site Joomla :
==> Recueil de trucs & astuces et bonnes pratiques du web (Site allevents.avonture.be)

:)

Pas de support en MP sans y être invité.Merci
Merci de vous conformer aux règles du forum.
Dernière édition: 29 Aoû 2013 10:37 par Scottux.
Les utilisateur(s) suivant ont remercié: lavsteph, cavo789, starter

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
29 Aoû 2013 10:24 #2 par cavo789
Merci.

Il s'agit d'une version "en cours" : j'ai souhaité publié cette première mouture afin, entre autre, de recevoir du feedback, conseils en retour, bonnes pratiques, etc. et les inclure dans un second temps.

J'ai déjà de mon côté ajouté plusieurs nouveaux slides concernant le .htaccess.

Si vous avez des suggestions, je suis, vous l'aurez compris, preneur :-)

Au plus tard, fin Septembre, je publie une seconde version.

Bonne journée.

Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html
Les utilisateur(s) suivant ont remercié: lavsteph, starter

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
03 Sep 2013 19:35 #3 par lavsteph
Bonsoir Christophe,

c'est déjà une bonne base pour les débutants, ce qui est ton but je pense.

Reste qu'il faudrait étoffer la partie extensions à ajouter selon le htaccess que l'on a mit en place.

Le risque principal que j'ai déjà vu sur beaucoup de mes interventions c'est l’accumulation de solution ( les utilisateurs pensent être tranquille en installant), ce qui conduit très souvent à des interactions voir l'annulation des protections que l'on croit avoir sur son site.

Quelques exemples

crawlprotect+admintools pro (htaccess)= non
crawltrack+crawlprotect = oui
Crawltrack+admintools pro = oui

Pour la partie meta name="generator", je fais partie des personnes qui pense que son masquage n'a aucun intérêt quand on sait comme tes pirates opèrent. :blush:

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
03 Sep 2013 23:20 #4 par cavo789
Tu es bien plus expert que moi et je n'ai pas la prétention de dire que mon recueil de conseils est une bible; donc oui, mon but, c'est de donner des pistes.

Comme toi, je ne pense pas qu'il faille multiplier les protections en tout genre; je commence d'ailleurs à me demander si CrawlProtect est vraiment utile dès lors que tu as un bon .htaccess (c'est là une des fonctions principales de CP) et que tu utilises jHackGuard et AdminTools. Je pense, dans ce scénario, que CP est superflus. C'est mon avis perso.

Pour le meta name, dans l'absolu, il n'apporte rien à laisser ou à retirer car rares seront les pirates qui vont prendre le temps "d'analyser" la page. Ces personnes-là utilisent des scripts qui fonctionnent à l'aveugle : passe ou passe pas. Comme tout ces scripts qui tentent d'utiliser une faille d'un composant com_truc alors que le composant n'est pas sur le site : les attaques se font à l'aveugle.

Toutefois, moins le pirate en sait, mieux cela vaut : si on se base sur le paragraphe ci-dessus, il est inutile de bloquer les fichiers .xml du dossier /administrator. Puisque le pirate attaque dans le noir, il ne servirait à rien de bloquer les xml et pourtant certains scripts dont p.ex. un addon firefox utilise ces fichiers pour déterminer la version Joomla du site.

En bloquant mes fichiers .xml, je bloque donc cet addon et d'autres, très probablement aussi. Est-ce une mesure de sécurité ? Cela se discute. Est-ce un gadget ? Perso, je ne pense pas : en tant qu'utilisateur "humain", je sais comment faire pour voir rapidement sur un site Joomla s'il utilise tel composant, telle version de Joomla, ... Au moins, je bloque ces personnes-là.

Je sais que certains disent que l'obfuscation ne sert pas à grand chose; ce n'est pas mon avis. Oui, cela ne changera rien pour les "vrais pirates", les scripts de type brute-force, ... mais cela bloquera les petits comiques qui ont une soirée à perdre et qui jouent aux méchants :-)

Bonne soirée Stéphane.

Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
04 Sep 2013 14:58 #5 par cavo789
Bonjour

Pour info, je viens de publier le document en v1.0. Ce n'est donc plus un draft.

J'ai pris bonne note de tes remarques Stéphane : j'attire l'attention du lecteur sur l'inutilité d'avoir plusieurs outils similaires et j'ai utilisé un visuel sur chaque slide où le truc relève plus de l'obfuscation càd davantage l'idée de masquer une information qu'une technique sécuritaire.

Je ferai encore évoluer ce document à l'avenir si j'ai matière à le faire.

allevents.avonture.be/fr/joomla/securite...joomla-securite.html

Bonne journée.

Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
04 Sep 2013 15:06 #6 par starter
Salut cavo789

erreur 404 avec ton lien :(

Pas de support en MP sans y être invité.Merci
www.aide-joomla.com
www.soulpin.com

Connectez-vous ou Créer un compte pour participer à la conversation.

  • Vous ne pouvez pas: Créer un nouveau sujet.
  • Vous ne pouvez pas: Répondre au sujet.
  • Vous ne pouvez pas: Éditer votre message.
Modérateurs: lavstephxillibittramber91Scottuxsergestarter
Temps de génération de la page : 0.087 secondes