Le 14 septembre 2017, nous avons publié une version actualisée de notre Politique de confidentialité. En utilisant video2brain.com vous vous engagez à respecter ces documents mis à jour. Veuillez donc prendre quelques minutes pour les consulter.

​Joomla! : Gestion de la sécurité

Masquer les informations sensibles

TESTEZ LINKEDIN LEARNING GRATUITEMENT ET SANS ENGAGEMENT

Tester maintenant Afficher tous les abonnements
Parcourez quelques réglages simples pour masquer ou supprimer les informations de votre site qui risqueraient d'être utilisées par les hackers.

Transcription

Une façon de se protéger des attaques malveillantes, c'est d'adopter une attitude de discrétion. En programmation, on parle d'obfuscation, une technique bien connue des développeurs pour protéger du code. Alors je vous propose de voir un petit peu les choses qu'on peut masquer aux esprits mal attentionnés. Quelque chose qu'on peut faire des l'installation de Joomla, c'est la réécriture des URL. Si on va sur une page du site ici, et bien on voit que dans l'URL nous avons un certain nombre d'informations qui pourraient être utilisé, puisqu'on fait appel ici à une base de données, et puis on reconnaît très bien que c'est un site Joomla, donc on va rechercher des failles s'il y en a. Donc première étape, <, <, et là c'est de passer en Réécriture des URL, alors si vous avez modifié le fichier htaccess, Réécriture au vol c'est encore mieux parce qu'on a pas l'index.php? qui permet de savoir qu'on fait appel à une base de données. Donc il faut d'abord renommer le htaccess en .htaccess à la racine de votre site. Donc là, on a déjà masqué un certain nombre de choses, en réactualisant la page, et bien ici on a un code qui a été réécrit qui est propre et qui ne donne plus d'informations concernant notre site. Deuxième point qu'on peut régler également dans l'administration, c'est le fait de désactiver la couche FTP, alors ça c'est dans Serveur, et puis quelques versions maintenant Joomla désactive cette option par défaut lors de l'installation, mais dans les versions antérieures, c'était activé. Donc voilà, c'est dans Paramètres FTP, normalement c'est pas activé, alors on l'active si vraiment votre hébergeur vous demande de l'activer pour transférer les fichiers etc. Durant des extensions. Je vous montre un peu, voilà si vous voulez activer, vous allez mettre un certain nombre d'informations ici qui ne seront pas codées en fait. Dont notamment les informations de login comme l'identifiant et le mot de passe apparaîtront en clair. Donc c'est très sensible. Si jamais vous êtes obligés d'utiliser ces paramètres FTP, n'oubliez pas de les désactiver après chaque utilisation. Même si c'est fastidieux. Nous sommes toujours dans l'administration de Joomla et dans l'administration des templates, alors on va aller cliquer ici sur templates et on a un petit paramètre qui permet d'afficher les positions des modules, donc là aussi depuis de nombreuses versions, c'est désactivé dans le Joomla. On y a pensé depuis un moment à cette sécurité là, mais ça peut être utile de l'activer quand vous êtes en train de travailler sur le template, sur les modules etc. Donc on va activer cette prévisualisation. Vous remarquerez qu'au niveau des templates aussi, on a pas mal de paramètres qui permettent de limiter des tailles, et de bloquer certains formats de fichier. Alors on va enregistrer et fermer. Le fait d'avoir activer cette option, donc on pourrait ici admirer les positions sur les templates, et bien si je rajoute ici <, c'est le petit code qui va me permettre d'afficher la position des modules et les positions des templates. Donc ça, tout de suite on sait que c'est du Joomla, et si c'est du Joomla et bien on va essayer d'utiliser les failles, très pratique pendant la construction du site quand on veut positionner des modules à certains endroits, très pratique pour le designer, mais surtout n'oubliez pas de le désactiver quand vous mettez votre site en production. Toujours dans l'administration, si on va dans configuration, nous avons tout à fait vers le bas ici, la faculté de désactiver la version de Joomla. Alors ça c'est dans le code, c'est une Méta balise générateur. Par défaut, c'est désactivé. Alors moi personnellement je ne suis pas arrivé à l'enlever, donc si je retourne sur ma page ici, un petit clic bouton droit, comme source de la page pour aller vite et là j'ai bien cette meta generator qui m'indique la version de Joomla, pas très discret. Alors plusieurs possibilités, modification du template, donc là toujours dans l'administration des templates, on va aller chercher ici Templates. Donc le template par défaut ici c'est Protostar, et donc on accède ici au fichier du template et on va pouvoir modifier l'index. Alors moi je vous conseille plutôt de faire une surcharge, une substitution de template, donc suivant le template que vous utilisez, maintenant les templates de qualité permettent de faire des substitutions sans modifier les fichiers d'origine de façon à ce que lors de la prochaine mise à jour, tous ce que vous ayez rajouté ne soit écrasé. Nous allons rajouter une ligne de code, donc juste après l'affichage des balises Méta, donc on doit avoir, suivant les templates, on en a une commande Joomla qui permet d'afficher les en-têtes, <, voilà donc ici, inclure le fichier des en-têtes. Alors on va se mettre juste en dessous et on va taper cette ligne de code, si vous avez accès au fichier source de l'information, vous pourrez la retrouver dans un document de façon à la copier/coller. Donc une commande Joomla < qui permet de désactiver ici notre balise generator. Alors on va enregistrer, et on va aller vérifier les résultats, un petit rafraîchissement de la page, un petit clique droit, ressources de la page, et là vous voyez qu'on a bien supprimé cette balise. Alors vous avez une autre méthode qui consiste à utiliser un plugin que vous retrouverez dans le < Joomla Extension Directory, donc c'est le plugin SET GENERATOR TAG un plugin très simple qui s'installe et qui vous permet quand même d'utiliser cette balise meta generator, en général c'est une balise qui permet d'indiquer les outils qui ont permis de confectionner le site. Et là vous pouvez la remplacer par ce que vous voulez. Pour terminer notre petite partie d'obfuscation, rendons nous à la racine du site donc si le site est en cours de développement sur un serveur local, ou par FTP s'il est déjà en place. Et il y a quelques petits fichiers ici à supprimer qui ne servent à rien et qui pourraient donner des informations à des personnes malveillantes si bien même elles arrivent à rentrer dans cet espace. Le web.config, apparemment vous en avez pas besoin. Le robots, il est déjà installé quelque part donc celui-là, on en a pas besoin. Le lisez-moi et la licence c'est les premiers à enlever. Attention aux fichiers sensibles quand même, ne supprimez pas tout. Le htaccess apparemment, celui-là on a du en générer un autre avec un point ici, donc c'est bon. Sinon il faudra le renommer votre htaccess. Et je crois que c'est tout, alors attention de ne pas tout supprimer, et surtout certains fichiers système indispensables. Donc là un petit coup de suppr, <, de toute façon, on a fait une sauvegarde, nous sommes prudents quand on fait de la sécurité. Alors le robots.txt c'est bien sûr il faut le laisser. Et là on a plus de traces de fichier qu'on peut ouvrir facilement et qu'on peut récupérer facilement par les URL, tout ce qui est fichier texte. Vous savez maintenant mieux protéger votre site en le rendant un petit peu plus discret.

​Joomla! : Gestion de la sécurité

​Respectez quelques règles, souvent simples et de bon sens, pour éviter de perdre tout le contenu de votre site Joomla!. Sachez prévenir et réagir en cas d’attaque !

1h47 (26 vidéos)
Aucun commentaire n´est disponible actuellement
 
Logiciel :
Thématiques :
Design web
CMS
Spécial abonnés
Date de parution :21 avr. 2016

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !