Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)

Bonjour à tous.

Un bon PDF, compréhensible pour tout le monde, avec des conseils pour sécuriser son site Joomla :
==> Recueil de trucs & astuces et bonnes pratiques du web (Site allevents.avonture.be)

Merci.

Il s'agit d'une version "en cours" : j'ai souhaité publié cette première mouture afin, entre autre, de recevoir du feedback, conseils en retour, bonnes pratiques, etc. et les inclure dans un second temps.

J'ai déjà de mon côté ajouté plusieurs nouveaux slides concernant le .htaccess.

Si vous avez des suggestions, je suis, vous l'aurez compris, preneur

Au plus tard, fin Septembre, je publie une seconde version.

Bonne journée.

Bonsoir Christophe,

c'est déjà une bonne base pour les débutants, ce qui est ton but je pense.

Reste qu'il faudrait étoffer la partie extensions à ajouter selon le htaccess que l'on a mit en place.

Le risque principal que j'ai déjà vu sur beaucoup de mes interventions c'est l’accumulation de solution ( les utilisateurs pensent être tranquille en installant), ce qui conduit très souvent à des interactions voir l'annulation des protections que l'on croit avoir sur son site.

Quelques exemples

crawlprotect+admintools pro (htaccess)= non
crawltrack+crawlprotect = oui
Crawltrack+admintools pro = oui

Pour la partie meta name="generator", je fais partie des personnes qui pense que son masquage n'a aucun intérêt quand on sait comme tes pirates opèrent. :blush:

Tu es bien plus expert que moi et je n'ai pas la prétention de dire que mon recueil de conseils est une bible; donc oui, mon but, c'est de donner des pistes.

Comme toi, je ne pense pas qu'il faille multiplier les protections en tout genre; je commence d'ailleurs à me demander si CrawlProtect est vraiment utile dès lors que tu as un bon .htaccess (c'est là une des fonctions principales de CP) et que tu utilises jHackGuard et AdminTools. Je pense, dans ce scénario, que CP est superflus. C'est mon avis perso.

Pour le meta name, dans l'absolu, il n'apporte rien à laisser ou à retirer car rares seront les pirates qui vont prendre le temps "d'analyser" la page. Ces personnes-là utilisent des scripts qui fonctionnent à l'aveugle : passe ou passe pas. Comme tout ces scripts qui tentent d'utiliser une faille d'un composant com_truc alors que le composant n'est pas sur le site : les attaques se font à l'aveugle.

Toutefois, moins le pirate en sait, mieux cela vaut : si on se base sur le paragraphe ci-dessus, il est inutile de bloquer les fichiers .xml du dossier /administrator. Puisque le pirate attaque dans le noir, il ne servirait à rien de bloquer les xml et pourtant certains scripts dont p.ex. un addon firefox utilise ces fichiers pour déterminer la version Joomla du site.

En bloquant mes fichiers .xml, je bloque donc cet addon et d'autres, très probablement aussi. Est-ce une mesure de sécurité ? Cela se discute. Est-ce un gadget ? Perso, je ne pense pas : en tant qu'utilisateur "humain", je sais comment faire pour voir rapidement sur un site Joomla s'il utilise tel composant, telle version de Joomla, ... Au moins, je bloque ces personnes-là.

Je sais que certains disent que l'obfuscation ne sert pas à grand chose; ce n'est pas mon avis. Oui, cela ne changera rien pour les "vrais pirates", les scripts de type brute-force, ... mais cela bloquera les petits comiques qui ont une soirée à perdre et qui jouent aux méchants

Bonne soirée Stéphane.

Bonjour

Pour info, je viens de publier le document en v1.0. Ce n'est donc plus un draft.

J'ai pris bonne note de tes remarques Stéphane : j'attire l'attention du lecteur sur l'inutilité d'avoir plusieurs outils similaires et j'ai utilisé un visuel sur chaque slide où le truc relève plus de l'obfuscation càd davantage l'idée de masquer une information qu'une technique sécuritaire.

Je ferai encore évoluer ce document à l'avenir si j'ai matière à le faire.

allevents.avonture.be/fr/joomla/securite...joomla-securite.html

Bonne journée.

Salut cavo789

erreur 404 avec ton lien