Aesecure
Aller à la navigation
Aller à la recherche
Le wiki : Accueil - Administrateur - Bureautique - Développeur - Intégrateur - Marketing - Multimédia - Objets numériques - Jeux - We make Hack
Aesecure
Introduction
Le site officiel www.aesecure.com/fr Rapport de sécurité www.aesecure.com/downloads/joomla_security.pdf Aesecure est un logiciel PHP qui offre une couche de protection supplémentaire a un site web qui fonctionne sous serveur Apache. Tous les sites sont concernés (Joomla!®, Drupal, WordPress, même un site statique ou un logiciel propriétaire). La protection Contrôle de la configuration du site web (version de php, de votre CMS, de la sécurité des fichiers/dossiers, ...) Installation d'un fichier php.ini à la racine du site Implémentation d'un très grand nombre de règles dans le .htaccess à la racine du site Placement de plusieurs autres fichiers .htaccess dans des dossiers réputés sensibles : administration, images, tmp, ... www.aesecure.com/fr/documentation/fonctionnalites/43-fichiers-administration-joomla.html Protection des dossiers sensibles par mot de passe .htpasswd www.aesecure.com/fr/documentation/fonctionnalites/22-protection-mot-de-passe.html Blocage des robots connus, réduction du spam Bloque les uploads de fichiers Activation d'un mode de maintenance interdisant, sauf à vous et aux moteurs de recherche, l'accès au site Aesecure propose aussi des fonctionnalités d'optimisation du site web Activation du mode SEF (réécriture des urls) Ajout / Suppression du préfixe www. (réduction du "duplicate content") Implémentation d'un certain nombres de règles pour tirer profit de mod_pagespeed de Google, pour activer la compression côté serveur, pour spécifier la durée de vie des fichiers statiques. Aesecure propose une section spécifique pour les utilisateurs du CMS Joomla!® contrôle automatique de la version de Joomla!® Bloquer le composant natif des inscriptions pour bloquer les urls prédéfinies de création de comptes fantômes Intercepte les urls vers des composants non installés Protéger les fichiers de l'administration - protection par ip www.aesecure.com/fr/documentation/fonctionnalites/21-liste-blanche-ip.html Analyser les urls du composant de redirection arrivant jusqu'à Joomla!® et ayant généré une page 404
Afficher / Masquer les erreurs de Joomla! avec Aesecure en cas de page blanche
www.aesecure.com/fr/blog/error-reporting.html Chaque fichier .htaccess possède ce tag HTML image, qu'il pourrait être bien de changer pour un .htaccess VISION DU WEB. Le travail de Christophe méritant d'être partagé, j'ai testé le changement d'image avec succès, mais, laissé la version originale. Les informations sont dans le .htaccess principale ou dans le dossier aesecure à la racine du site. /htdocs/media/kunena/attachments/76/aesecure-image-sur-htaccess.jpg Des images ne s'affichent plus depuis bannières et dossier images/stories Tu as désactivé le blocage réalisé par l'option 2.6 ? Cela va autoriser ces accès-là. ( Juste dans le dossier image je crois :) ) Complément d'information pour écrire une regex et autoriser un usage normal de mediawiki Avec Aesecure, la validation de compte mediawiki ne fonctionne pas, Aesecure est trop efficace Le message est ouvert sur GHSTools : www.ghstools.fr/forum/viewtopic.php?f=105&t=3528&p=9852#p9852 J'avais pu contourner ce soucis avec le bridge Mediawiki pour Joomla mais son développement a été arrêté. Sur cette problématique, Christophe répond : Dans ton interface Aesecure, menu Options, tu vas trouver le log des accès bloqués. La documentation en soutient : www.aesecure.com/fr/documentation/fonctionnalites.html Une vidéo de plus d'une heure : www.youtube.com/channel/UCcWKn7bn14libVhcf0Vu_zQ
Lancer un scann avec Aesecure
Lancer un scann avec Aesecure : https://www.aesecure.com/fr/blog/aesecure-quickscan.html
La recherche Joomla peut être trop bien sécurisée avec Aesecure
Page d'erreur Aesecure en cas d'apostrophe dans les mots à rechercher. Le site est trop bien sécurisé grâce à Aesecure mais cela crée un problème si des apostrophes sont saisis dans les mots de la recherche.
Le changement de mail et de mot de passe des utilisateurs de Mediawiki est bloqué par Aesecure
Le format du lien dans le mail : domaine.ext/wiki/index.php?title=Sp%C3%A9cial:Confirmer_l%27adresse_de_contact/b7abe94193013a07a74241125645fccb domaine.ext/wiki/index.php?title=Sp%C3%A9cial:Connexion&returnto=Sp%C3%A9cial%3AChanger_courriel&returntoquery=returnto%3DSp%25C3%25A9cial%253APr%25C3%25A9f%25C3%25A9rences&force=ChangeEmail
Le code de blocage est le 271. Si nécessaire, consulter la page de la documentation de Aesecure : https://www.aesecure.com/documentation
Aesecure Quick Scan
Aesecure Quick Scan : Chercher des signatures anormales. Sécuriser le site avec ".htaccess" et "php.ini".
Télécharger Quick Scan : https://github.com/cavo789/aesecure_quickscanSite officiel : https://www.aesecure.com/fr/blog/aesecure-quick-scan.htmlManuel : https://www.aesecure.com/fr/blog/aesecure-quick-scan.html#download- Transférer le fichier à la racine du site web et lancer http://votresite/aesecure_quick_scan.php - Cliquer dans l'ordre sur les boutons "1. Nettoyer", "2. Obtenir", "3. Scan le site", "4. Supprimer le script"
Modifier le .htaccess / Ou / Le régénérer avec aesecure. Le Master de Joomla! est généré.
Lire le sujet dans le forum concernant Eyesite Utiliser Eyesite pour surveiller les fichiers du site qui sont modifiés.
En cas de fichiers suspects les conseils de Aesecure :https://www.aesecure.com/fr/blog/site-hacke.html#si-votre-site-est-sous-joomla-%C2%AE
Bibliographie
Autres outils du même type spécifiques à Joomla
# Vérifier dans quelle mesure ils peuvent être cumulés.
Jhackguard
extensions.joomla.org/extensions/extension/access-a-security/site-security/jhackguard
JomDefender
extensions.joomla.org/extensions/extension/access-a-security/site-security/jomdefender
Admin Tools de Akeeba
www.nosyweb.fr/test-joomla/admin-tools-2-6-0-rehaussez-le-ni...rite-de-votre-site-joomla.html
AdminExile avec un outil contre le BruteForce
Je pense le mettre en place pour protéger l'administration. extensions.joomla.org/extension/adminexile
NAVIGATION
PARTICIPER ET PARTAGERBienvenue sur le wiki de Amis SH. De nombreuses pages sont partagées sur ce wiki. Créer un compte utilisateur pour participer sur le wiki. Les pages présentées sur le wiki évoluent tous les jours. Certaines recherches sont peu abouties et incluent des erreurs. Utiliser la recherche interne du wiki pour trouver votre contenu. La page de discussion de Amis SH vous permet de poser vos questions. Consulter le site amis-sh.fr pour installer votre propre serveur web. Améliorer le contenu des pages avec vos retours depuis l'onglet discussion. Ce contenu ne doit pas servir à nuire à autrui ou à un système informatique. Protéger votre système Linux ou Windows avec cette page dédiée à la sécurité. |
SOUTENIR CE WIKISoutenir le wiki avec un don en monnaie numérique : AEON - Bitcoins - Bitcoins Cash - Bitcoins Gold - Bitcore - Blackcoins - Basic Attention Token - Bytecoins - Clams - Dash - Monero - Dogecoins - Ğ1 - Ethereum - Ethereum Classique - Litecoins - Potcoins - Solarcoins - Zcash OBTENIR DE LA MONNAIE NUMERIQUEObtenir gratuitement de la monnaie numérique : Miner de la cryptomonnaie. |