Sécurisation d'un site internet sous Joomla

Articles similaires
Les navigateurs Web alternatifs Tout savoir sur une page web Les outils du Webmaster Referencer optimiser un site joomla Des icones pour vos sites Phpmyvisites et crawltrack Pourquoi il ne faut pas utiliser d'underscore dans les URL Google part en guerre contre le commerce de liens optimiser Joomla1-0-12 pour le referencement Le nec plus ultra des outils de référencement? comScore, a publié les résultats des parts de marché pour les moteurs de recherche Recherche Web : baisse de Google au mois de juin les underscores et Google La conférence de Matt Cutts sur le référencement des blogs WordPress réalisation de site internet Mettre en place une politique de liens efficaces pour le référencement. Les annuaires de qualité pour le référencement Quelques outils pour le référencement XITI version 7.5 Modification et amélioration de google webmaster tools Detection de liens ‘rel=nofollow’ positionner son site sur un pays en ayant un site en .com Optimiser le referencement pour Joomla 1.013 Google modifie un de ses algorithmes de référencement à propos des sous domaines Nouvel outil de référencement dans le google webmaster tool Comment rédiger des descriptions META efficaces Google enleve de ses résultats les flux RSS Google améliore son google webmaster tools en ajoutant différends sitemap Optimiser Joomla1.0.15 avec content.html.php referencement et positionnement d'un site avec joomla 1.015 Google aurait répertorié 1 trillion de pages internet Google donne le nombre de résultat à votre requête google Chrome prend déja 1 à 2 % de part de marché RefSphere logiciel de référencement Yahoo Web Analytics, un concurrent pour Google ? Google Yahoo Live search vers la portalisation ? Suivre le trafic et les statistiques de visite Yahoo site Explorer Le référencement et l'optimisation d'un site internet en octobre 2008 Live search Webmaster center cela bouge sur les SERP chez google SearchWiki Google permet la personnalisation des résultats Sécuriser Joomla 1.5 Un bug chez google Le suivi des backlink d'un site internet : backlink checker Google prend en compte la vitesse de téléchargement d'une page web Le contenu - Faire du contenu Modification importante sur Keyword Tools de Google Comment savoir si un annuaire pour le référencement est de qualité Google Shopping est dorénavant disponible en France L'avenir des annuaires dans la planète internet SEO

Qui est en ligne
Il y a actuellement 34 invités en ligne

pandaranol
Pandaranol

Joomla Webmaster
flux joomla-webmaster.com

Sécuriser son site internet sous joomla

Qui n'a pas connu son site hacké et des mois d'effort réduit à néant, moi la dernière fois, cela m'avait mis dans une rage folle.

aussi une parade éxiste elle est décrit ci dessous. Attention quand même à surveiller les mises à jour des composants que vous utilisez , upgradez les chaque fois que c'est nécéssaire.

Methode de protection basique:

1) bien vérifier que tous tes fichiers sont vérouillé dans l'administration. (templates index/css interdire la modification après l'enregistrement etc..)
Bien vérifier que tous tes repertoires ont un index.html (même zéro bit pas grave)
ATTENTION: Sauf dans /www et /administrator

Joomla! Register Globals Emulation: OFF
Register Globals: OFF (configuration globale, onglet "serveur" uniquement sous joomla 1.0.13)
Magic Quotes: ON
Safe Mode: OFF <== si possible
File Uploads: ON
Session auto start: OFF

3) Dans ton (ou tes) .htaccess tu rajoute au tout début ces lignes qui empecherons une eventuelle tentative de listing de celui ci:

Code:




<Files .htaccess>



order allow,deny



deny from all



</Files>

>>A lire au sujet des Htaccess<<

4) Ensuite dans le fichier globals.php
Juste aprés ça:

Code:




// no direct access



defined( '_VALID_MOS' ) or die( 'Restricted access' );

Tu rajoute ça:

Code:




// ************* 



if (



ereg('gif\?cmd',$_SERVER['REQUEST_URI']) ||



ereg('gif&cmd',$_SERVER['REQUEST_URI']) ||



ereg('jpg\?cmd',$_SERVER['REQUEST_URI']) ||



ereg('jpg&cmd',$_SERVER['REQUEST_URI']) ||



ereg('txt\?cmd',$_SERVER['REQUEST_URI']) ||



ereg('txt&cmd',$_SERVER['REQUEST_URI']) ||



ereg('txt\?',$_SERVER['REQUEST_URI'])



)



{



$mail_perso = "
 Cet e-mail est protégé contre les robots collecteurs de mails, votre navigateur doit accepter le Javascript pour le voir
 ";



$mailheaders .= "From: ".$mail_perso . "\r\n";



// $mailheaders .= "Bcc: ".$mail_perso. "\r\n"; // pour copie cachée







$msg = "Une tentative de hacking commise sur ".$_SERVER['HTTP_HOST']." par ".$_SERVER['REMOTE_ADDR']." en appelant ".$_SERVER['REQUEST_URI']."\n\n";







$msg .= "HTTP_SERVER_VARS:\n\n";



$msg .= "HTTP_HOST_NAME => ".gethostbyaddr($_SERVER['REMOTE_ADDR'])."\n\n";



while (list ($key, $val) = each ($_SERVER)) $msg .= "$key => $val\n";



$msg = addslashes($msg);



eval("\$msg = \"$msg\";");



$msg = stripslashes($msg);







@mail($mail_perso,'HACKING TENTATIVE '.$_SERVER['REMOTE_ADDR'],$msg,$mailheaders);



$iphack = "http://www.who.is/whois-ip/ip-address/".$_SERVER['REMOTE_ADDR']."";



die('<html><head><title>Stop Hacking</title></head><body style=margin:0px;><div align="center" style="background-color:#CCCC33;"><br /><br /><font size="+6"><b>Stop hacking!</b></font><br /><br /><img xsrc="http://www.le_site.chose/ton_image_déstiné_au_hacker.gif" border="0"><br /><br /><br /><br /><iframe width=100% height=300 frameborder=0 xsrc="'.$iphack.'"></iframe></div></body></html>');



}



// *************

Sans oublier de changer: Cet e-mail est protégé contre les robots collecteurs de mails, votre navigateur doit accepter le Javascript pour le voir par ton adresse a toi et www.le_site.chose/ton_image_déstiné_au_hacker.gif

Ce script bloque les attaques et t'averti par mail quel fichier (il te donne le lien) et à partir de quel serveur le cracker a voulu injecter, tout en bloquant la tentative.

ATTENTION ! Si votre site est sujet à un grand nombre d'attaques (et vous risquez d'être surpris) alors le server mail de votre hébergeur peut être surchargé !
Si vous ne souhaitez plus recevoir les mails de notification, supprimez simplement votre adresse mail dans le script.

Un Whois complet est retourné(Whois en panne je modifie au plus vite), ainsi qu'un jolie écran personalisé pour le cracker

A savoir que le script est actif sur la totalité des requêtes (pas des types de requêtes) vu la modif du globals.php

En ce qui concerne les injections SQL, c'est propre au codage des composants surtout ceux qui necessite un login ou une vérification de session, si le cracker parvient (pour les plus vicelard) a te polluer avec un script en PERL alors la c'est la boîte de Pandorre qui s'ouvre....

Pour finir, il est assé inutile de tenir un fichier log des IP retournée comme attaquante car en général c'est du spoofing d'IP donc une chaîne sans fin.

Source de la modification de sécurité forumjoomlafacile

Commentaires (7)

	1. 28-03-2009 16:34
	ca marche pas!!! SOS pb si je vais taper l'url de mon site/administrator/index2.php alors je me retrouve dans mon interface admin sans avoir besoin de me logguer!!!!!!!!!!!!! viva la faille bon tous mes dossiers ne sont pas vérouillé dans l'admin parce que 'jai pas fini mon site encore est ce que ça va être résolu après? Visiteur Rapporter