aesecure visual

securty crawltrack logoLe script Crawltrack développé depuis plusieurs années par Jean-Denis Brun est une solution qui propose deux facettes intéressantes chacune à leur niveau : Statistiques et protection.

Ce développement français qui est utilisable avec beaucoup d'autres CMS ou scripts de forum (PHPbb, SMF et autres), bénéficie de plus d'un support en français très réactif .

La première partie sur laquelle nous ne nous attarderont pas est son outil de statistiques très complet (visiteurs, moteurs de recherche, localisation ...) qui peut avantageusement remplacer le célèbre Google Analytics ou des extensions de statistiques pour Joomla.

La seconde partie qui sera le sujet de notre article est l'option de protection et de blocage des tentatives d'attaques de type inclusion de données ou inclusion de fichiers.

Présentation et mise en garde

Crawltrack est écrit en PHP tout comme Joomla et nécessite pour son fonctionnement une base de données SQL, il est conseillé d'utiliser une version récente de Mysql ( 5.0 et plus).

Comme il n'est pas de coutume nous allons commencer par les mauvaises nouvelles, si l'on peut dire ou plutôt par une mise en garde quant à l'utilisation de cet outil.

Lors de son fonctionnement Crawltrack stocke beaucoup de données dans la base SQL qu'il utilise pour conserver les données statistiques et les tentatives d’intrusions, ce qui fait rapidement gonfler la taille d'une base de données. Rassurez-vous ce point est commun à tous les outils de statistiques et il faut bien prendre en compte ces paramètres dès le départ au risque d'avoir quelques déconvenues.

Même si l'on peut limiter le nombre de données à conserver, ce que nous verrons plus loin dans l'article le premier point crucial est la base de données, donc si votre hébergeur vous impose une limitation de taille (ce qui est le cas sur les hébergements mutualisés) soyez prudent !

Par exemple si vous arrivez à la limite du quota alloué dans la plupart des cas plus aucune donnée ne pourra être écrite sur la base de données, votre site ne pourra donc plus être mis à jour voir dans le pire des cas mit hors-ligne.

La mise en garde étant faite ce qui conditionnera aussi en partie la suite l'article, nous allons aborder les possibles options d'installation de Crawltrack.

Les différentes options possibles d'installation

Option 1

Sur une installation par défaut, les fichiers sont donc stockés dans un dossier à la racine du site à protéger et utilise la base de données liée directement à Joomla.

Ce type d'utilisation de base n'est pas à notre avis la plus intéressante mais restera fonctionnelle pour peu que vous suiviez régulièrement votre site.

Option 2

Installation des fichiers à la racine du site avec l'utilisation d'une seconde base de données.

Option 3

Installation dans un sous-domaine avec une base de données indépendante de celle de Joomla.

Option 4

Installation sur un autre serveur.

Choix et réflexions

Comme vous pouvez le constater ce script est très flexible quant à son utilisation avec Joomla, et peut convenir à tous les utilisateurs selon leurs moyens sachant que Crawltrack est totalement gratuit ... Que demander de plus.

Nous passerons la première option comme nous l'avons précisé plus haut, l'option 2 et 3 sont intéressantes dans la mesure ou vous pouvez disposer de plusieurs bases de données.

reflexionReste l'option 4 qui à notre avis est la plus intéressante, c'est celle qui vous permettra de séparer la partie sécurité que Crawltrack propose sur un autre serveur.

Cette dernière option que nous conseillons nécessite certes un certain budget, mais il faut aussi garder à l'esprit que la sécurité à un coût ne serait-ce qu'aux vues des prix de certaines extensions tierces de sécurité pour Joomla.

Dernier point intéressant avec cette option 4 c'est la partie sécurité proprement dit de Crawltrack, qui pourrait être un jour faillible (à notre connaissance ce n'est jamais arrivé) ou inversement avec Joomla ; les deux séparés sont un gage de tranquillité en cas de faille de l'un ou l'autre pour une intervention plus ciblée.

Installation et configuration

L'installation du script n'est pas très compliquée, pas plus que si vous avez réussi celle de Joomla.

La procédure est très bien documentée sur le site de l'éditeur que nous vous conseillons de lire.

Documentation sur l'installation Crawltrack

Une fois arrivé à la fin de l'installation de Crawltrack il vous sera proposé de saisir l'adresse du premier site que vous souhaité protéger, l'un des avantages de ce script c'est de pouvoir aussi gérer plusieurs sites sur la même installation.

Nous considérerons que vous avez finalisé votre installation avec l'une des différentes options pour passer à l'insertion des lignes de code dans deux des fichiers concernés de Joomla.
Insertion des tags

Connectez-vous à l'administration de Crawltrack et sélectionnez la page des outils

outils crawltrack

Selon l'option que vous aurez choisi le tag à utiliser sera différent, voir l'image ci-dessous

tags crawltrack

 

Dans un premier temps récupérer en local les fichiers index.php présent à la racine du site et dans le dossier (répertoire) /administrator.

La position du tag de Crawltrack dans les deux index.php est identique, à l'aide d'un editeur de texte il vous faut insérer les lignes du tag choisi comme ci-dessous

 

<?php $crawltsite=2; require_once("/srv/www/vhosts/.../.../.../.../crawltrack.php"); /**  * @package Joomla.Site  * @copyright Copyright (C) 2005 - 2012 Open Source Matters, Inc. All rights reserved.  * @license GNU General Public License version 2 or later; see LICENSE.txt  */

 

Une fois l'opération réalisée vous n'avez plus qu'à remplacer les index respectif à la racine et dans le dossier /administrator.

Activation de la protection

Le principal paramètre à activer dans la page des outils

security crawltrack

Informations sur les blocages

Quelques captures de présentation.

exemple attack

exemple details attack

 

Pour aller plus loin

Comme nous l'avons évoqué plus haut dans l'article, il est possible de limiter le nombre de données à stocker dans la base de données.

Pour cela récupérer en local le fichier mail.php présent dans le dossier include de Crawltrack , puis rechercher les lignes à éditer avec les paramètres souhaité.

Activation de la version Lite

$crawltracklite = 0;

Conservation des données (jours)

$crawltracklitekeepday = 0;

Compatibilité avec les extensions tierces de sécurité

Crawltrack est 100% compatible avec Crawlprotect du même éditeur, une précision qui n'est que pour information vue que les développements sont liés.

En guise de conclusion, cette base ne sera que subjective suite à nos différents tests et ne demande qu'à être enrichi avec vos expériences respectives.

  • Admin tools version Standard et Pro
  • Jsecure
  • JLSecure My Site

Vos réactions sur le sujet du forum

Cet article est suceptible d'être modifié et amélioré suite aux commentaires et réactions.

A propos de l'auteur
Stéphane Bourderiou
Nom: Stéphane BourderiouSite Web: https://www.aide-joomla.fr
Fondateur et rédacteur en chef - Fondateur du site SFK
Webmaster en perpétuelle recherche
Derniers articles de l'auteur

Liste des participants qui ont commenté cet article

Ajouter un commentaire