​Joomla! : Gestion de la sécurité

Restreindre les accès avec .htaccess

Testez gratuitement nos 1326 formations

pendant 10 jours !

Tester maintenant Afficher tous les abonnements
Générez facilement les fichiers .htaccess à l'aide d'un outil en ligne. Protégez l'accès à vos dossiers et à vos fichiers sensibles par un mot de passe ou en filtrant les adresses IP.

Transcription

Nous allons voir dans cette séquence, comment utiliser le fichier .htaccess pour sécuriser les répertoires. Alors à l'installation de Joomla, on a un fichier .htaccess du nom de htaccess.txt, fichier texte que l'on peut ouvrir avec n'importe quel éditeur et éditer, et souvent on l'active, c'est à dire qu'on le renomme en .htaccess sans l'extension puisque c'est un fichier Apache et qu'il permet de configurer les serveurs Apaches, donc les serveurs HTTP Apaches. Pour les serveurs Microsoft i7, vous avez une correspondance, c'est le fichier web.config.txt, que nous avons supprimé ici pour des raisons de sécurité, on a enlevé tous les fichiers txt inutiles, mais il est livré également lors de l'installation de Joomla. Alors sur d'autres serveurs Apache, le fichier .htaccess est déjà en partie configuré dans Joomla, notamment pour la réécriture des URL, donc ici, nous avons la directive qui permet de réécrire les URL, c'est bien pratique. A partir de la version 3.4, on a une directive qui a été rajouté ici, IndexIgnore et qui permet d'interdire l'accès au répertoire, ou plutot aux listes des répertoires. Et nous allons pouvoir rajouter des lignes de commande, alors bien sûr, on ne peut pas paramétrer toutes les propriétés d'un serveur Apache, mais on peut faire des choses intéressantes, et ce qui nous intéresse nous c'est de protéger nos répertoires. Alors qu'au passage nous avons des lignes avec des dièses, ce sont des lignes de commentaires. Ce fichier, à l'inverse du robot TIC, est complètement invisible, il est protégé par son point, bon, logiquement il peut être attaqué mais c'est quand même un fichier de protection. Créer des htaccess, c'est devenu très simple puisque nous avons des outils en ligne comme htaccesseditor.com, et par exemple, vous avez besoin de protéger un dossier, vous avez ici, refuser accès au fichier. Alors on a la possibilité d'autoriser ou refuser, là on va plutot refuser comme c'est conseillé d'ailleurs. Et voilà vous avez le code qui est généré immédiatement. Donc on va pouvoir copier ce code et le coller dans un fichier texte, avec un éditeur texte ou avec NotePad++ et on va renommer ce fichier texte sur le serveur en .htaccess. Alors autre petit exercice, alors par exemple, le dossier administrator, qui est quand même aussi assez sensible, on pourrait le protéger effectivement, n'autoriser que certains utilisateurs avec mots de passe. Alors vous avez une extension Joomla qui fait ça très bien, c'est Admin Tools, qui fait entre autre pas mal de choses, et la protection du dossier administrator, il utilise le même principe. Alors en fait on va choisir ici, l'option identification et en fait nous allons créer deux fichiers, que nous allons mettre soit dans le dossier administrator, ou soit dans le dossier que l'on veut protéger par mot de passe. Ici, on va mettre le nom d'utilisateur, avec son mot de passe. On peut aussi générer les mots de passe aléatoires en définissant le nombre de caractères. On peut choisir le mot de passe que l'utilisateur a l'habitude d'utiliser, et on va donc créer une ligne qui correspond à cet utilisateur. Donc ça on va aller le copier, et le coller dans un fichier texte, qu'on renommera ensuite .htpaswd. il faut bien sur, ajouter d'autres utilisateurs, alors majuscules, minuscules, là c'est pas important. Alors là, on peut lui générer un mot de passe complexe, voilà, et on copie et on colle le nouvel utilisateur dans le même fichier htpaswd. Donc ça c'est la première étape, ce fichier, on va le mettre à la racine du dossier qu'on veut protéger. Deuxième étape c'est générer le fichier htaccess, qui lui, va donner l'accès au fichier htpswd. Alors il faut donner le chemin absolu ici, le chemin absolu, vous pouvez l'obtenir en créant un fichier que vous appelez chemin.php, mais c'est un petit peu compliqué. Avec Joomla, vous pouvez le trouver facilement dans l'administration. Alors je vais changer l'écran ici, on va aller sur notre site en local, mais c'est pour vous montrer la manip. Donc quand vous êtes dans le panneau d'administration, dans configuration, dans système, vous avez ici l'emplacement des dossiers logs, et donc là vous avez le chemin absolu. Là c'est le chemin de l'ordinateur, mais sur votre serveur d'hébergement, vous aurez bien le chemin absolu. Souvent ça commence par Rome, c'est pas une obligation, mais bon. Vous copiez, et vous allez collez ça ici. Voilà, et donc votre fichier htaccess va être généré automatiquement. Donc il suffit de copier ici la ligne de code, sans rien oublier et de coller ça dans un nouveau fichier htaccess qu'on va stocker donc à la racine du dossier que l'on souhaite protéger. Donc en fait, dans le dossier administrator, c'est une double barrière puisqu'il faudra d'abord s'identifier avec ce mot de passe là, et puis après vous aurez l'identification habituelle avec Joomla et son login d'utilisateur Joomla. Alors je ne sais pas si vous êtes comme moi, mais je trouve ce petit générateur très amusant, je vais effacer ça, et on a aussi la possibilité de restreindre les accès. Alors par exemple, vous voulez autoriser que certaines adresses IP, accéder au dossier administrator, et bien là, vous allez indiquer les adresses autorisées, alors ça peut être votre adresse IP, ça peut être celle du bureau, ça peut être celle d'un autre administrateur. Alors on peut ici ajouter, plusieurs adresses qui seront autorisées à accéder au dossier. Et toutes les autres adresses IP vont être, bien entendu, bloquées. Alors il y a une limite, c'est que si vous bougez beaucoup et que vous accédez à votre administration à partir de connections différentes, vous n'aurez pas forcément la même adresse IP et ça peut être un petit peu gênant. Donc, des firewall, on verra ça un petit peu plus loin dans la formation, utilisent cette technique, cette méthode, enfin proposent en tous cas cette méthode, mais bon, c'est pas toujours évident de nos jours où nous sommes très nomades, mais ça peut quand même servir. Alors autre utilité, c'est de pouvoir aussi refuser des adresses, là en cas de spam, vous détectez soit dans vos formulaires, soit dans vos logs, et vous avez des accès qui proviennent toujours de la même adresse IP, bon c'est pas des accès qui ont l'air très sympathiques, et bien vous allez ici, les bloquer. Alors c'est un autre fichier htaccess ou alors c'est un autre code, il faudrait bien sur rajouter le code à la suite, voilà. Donc ce petit outil en ligne permet rapidement de générer le code qui va bien pour protéger vos dossiers avec ce fameux fichier htaccess. Et alors les fichiers htaccess, par défaut, on l'a à la racine du site mais on peut en mettre dans tous les dossiers.

​Joomla! : Gestion de la sécurité

​Respectez quelques règles, souvent simples et de bon sens, pour éviter de perdre tout le contenu de votre site Joomla!. Sachez prévenir et réagir en cas d’attaque !

1h47 (26 vidéos)
Aucun commentaire n´est disponible actuellement
 
Logiciel :
Thématiques :
Design web
CMS
Spécial abonnés
Date de parution :21 avr. 2016

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !