× Les solutions aux failles de Joomla - Signaler une faille concernant Joomla ou ses extensions.
L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés

Question Recueil de Trucs & Astuces (Comment sécuriser son site Joomla)

Plus d'informations
04 Sep 2013 15:09 #7 par cavo789
Argggh.... Merci pour ta réponse.

Je n'ai pas la possibilité d'éditer mon message ci-dessus. Le bon lien est allevents.avonture.be/joomla-security.html

Bonne journée Starter.

Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
04 Sep 2013 15:17 #8 par starter
Parfait ça marche ;)

Concernant les messages, il me semble qu'on ne peut les éditer qu'une fois (si les admins peuvent confirmer).

Pas de support en MP sans y être invité.Merci
www.aide-joomla.com
www.soulpin.com

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
04 Sep 2013 18:14 #9 par lavsteph

cavo789 écrit: Tu es bien plus expert que moi et je n'ai pas la prétention de dire que mon recueil de conseils est une bible; donc oui, mon but, c'est de donner des pistes.


Bonsoir Christophe,

expert c'est un bien grand mot, je dirai plutôt de bonnes connaissances et quelques années de pratique.

Comme toi, je ne pense pas qu'il faille multiplier les protections en tout genre; je commence d'ailleurs à me demander si CrawlProtect est vraiment utile dès lors que tu as un bon .htaccess (c'est là une des fonctions principales de CP) et que tu utilises jHackGuard et AdminTools. Je pense, dans ce scénario, que CP est superflus. C'est mon avis perso.


Pour cette partie je conseille l'un des deux duo selon les cas

1 -Crawlprotect et une bonne solution couplé avec Crawltrack, on peut ansuite y ajouté un plugin d'accès à l'administration comme JLSecure My Site et les captchas adéquat selon ses extensions. On a une bonne base sécurisé

2 -Admintools pro (payant 20 € l'année cela se justifie grandement) génére un htaccess très complet pour les novices, rien n'empêche ensuite d'y ajouter d'autres régles. Il y a aussi une option de protéger l'accès à l'administration, et divers autre réglages très intéressant si l'on prend bien le temps de s'y attarder.

Ensuite dans les deux cas on peut y adjoindre un système de monitoring selon ses moyens financier.

Pour le meta name, dans l'absolu, il n'apporte rien à laisser ou à retirer car rares seront les pirates qui vont prendre le temps "d'analyser" la page. Ces personnes-là utilisent des scripts qui fonctionnent à l'aveugle : passe ou passe pas. Comme tout ces scripts qui tentent d'utiliser une faille d'un composant com_truc alors que le composant n'est pas sur le site : les attaques se font à l'aveugle.

Toutefois, moins le pirate en sait, mieux cela vaut : si on se base sur le paragraphe ci-dessus, il est inutile de bloquer les fichiers .xml du dossier /administrator. Puisque le pirate attaque dans le noir, il ne servirait à rien de bloquer les xml et pourtant certains scripts dont p.ex. un addon firefox utilise ces fichiers pour déterminer la version Joomla du site.

En bloquant mes fichiers .xml, je bloque donc cet addon et d'autres, très probablement aussi. Est-ce une mesure de sécurité ? Cela se discute. Est-ce un gadget ? Perso, je ne pense pas : en tant qu'utilisateur "humain", je sais comment faire pour voir rapidement sur un site Joomla s'il utilise tel composant, telle version de Joomla, ... Au moins, je bloque ces personnes-là.


Tout autant pour le meta-name que je n'utilise pas, le blocage de l'accès au xml est à conseiller de mon point vu.

Je sais que certains disent que l'obfuscation ne sert pas à grand chose; ce n'est pas mon avis. Oui, cela ne changera rien pour les "vrais pirates", les scripts de type brute-force, ... mais cela bloquera les petits comiques qui ont une soirée à perdre et qui jouent aux méchants :-)


Pour le cas des hackeurs en herbe, c'est effectivement un parade qui peut rassurer j'en conviens

En tous cas ta nouvelle mouture s'étoffe, c'est du bon travail et ne t'en déplaise c'est déjà une petite bible pour les débutants et + je pense.

J'apprécie le soins avec lequel tu traites les fonctions du htaccess, là c'est très utile quand on commence avec ce fichier qui rebute les débutants et pourtant qui est le premier rempart en matière de sécurité.

Tu pourrais ensuite proposer une partie sur le php.ini qui participe aussi à la sécurité, un petit exemple.
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
Les utilisateur(s) suivant ont remercié: cavo789

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
04 Sep 2013 20:00 #10 par cavo789
Salut Stéphane

Excellente idée que celle d'aborder dans un prochain futur des blocages au niveau de php.ini. Excellente idée !

Merci.

Merci itou pour ton appréciation. Cela me fait plaisir car, oui, tu es bien plus expert que moi. Si tu n'as pas vu de grosses coquilles dans mon document et si le juge utile pour les débutants, c'est super vu que c'est le public que je cible. Débutants dans le sens noble du terme : toutes personnes qui, pour la première fois, souhaite approfondir cette matière et cherche des pistes pour sécuriser son site.

Plus tard, ces personnes feront des choix d'hébergeurs ou d'outils qui renforceront encore plus la sécurité de leur travail mais ... Rome ne s'est pas construit en un jour :P

Bonne soirée.

Christophe
Développeur d'aeSecure; suite de protection et d'optimisation de sites web Apache - www.aesecure.com
Votre site a été hacké ? Quelques conseils : www.aesecure.com/fr/blog/site-hacke.html
www.aesecure.com/fr/blog/joomla-securite.html
Les utilisateur(s) suivant ont remercié: Scottux

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
04 Sep 2013 21:32 #11 par lavsteph
Je viens de relire en détail le pdf, pour moi c'est très bien. ;)
Les utilisateur(s) suivant ont remercié: cavo789

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
04 Sep 2013 22:32 #12 par Scottux
Bonsoir cavo789 et merci beaucoup pour cette nouvelle mise à jour de ton PDF. :bravo

Il m'a permis de comprendre certaines choses qui étaient du charabia pour moi. Il y a déjà de quoi s'occuper quelques semaines si on suit tous les conseils. :)

Pour info, tu as du écrire "accès" à la place de "accède" dans cette phrase (page 45) :

A priori, il n’y a aucune raison qu’un utilisateur accès à un fichier du cache de Joomla (/cache) ni
à un fichier se trouvant dans le dossier


Pas de support en MP sans y être invité.Merci
Merci de vous conformer aux règles du forum.
Les utilisateur(s) suivant ont remercié: cavo789

Connectez-vous ou Créer un compte pour participer à la conversation.

  • Vous ne pouvez pas: Créer un nouveau sujet.
  • Vous ne pouvez pas: Répondre au sujet.
  • Vous ne pouvez pas: Éditer votre message.
Modérateurs: lavstephxillibittramber91Scottuxsergestarter
Temps de génération de la page : 0.078 secondes