Installation de aeSecure 2.0.1b réussie.
Installation de aeSecure 2.0.1b réussie.
Place un fichier .htpasswd dans un répertoire afin d'en limiter l'accès aux seuls détenteurs du couple login / mot de passe.
Conseil: Idéalement vous devriez au minimum protéger votre dossier d'administration. Si votre dossier de sauvegarde (backups) est localisé dans votre arborescence (p.ex. /sauvegardes), pensez à le sécuriser également.
robots.txt est le nom d'un fichier à la racine de votre site qui reprend des informations pour les moteurs de recherche : indexer ceci, ne pas indexer cela. Ce fichier est à destination des moteurs de recherche (les bots); pas pour les humains qui pourraient y découvrir l'architecture de votre site.
Chaque accès à votre site se fait au travers d'un logiciel; le plus souvent un navigateur. Sauf exception, chaque logiciel dispose d'une signature : son nom. Cette information est transmise à chaque connexion sur votre site; dans la variable 'user-Agent'.
Certains d'entres eux sont réputés pour être des scripts d'attaques comme p.ex. 'BOT/1.0 (BOT for JCE)' qui essaye de pirater votre site en utilisant une faille de sécurité de l'éditeur JCE (colmatée depuis longtemps).
Cette option va vous permettre d'opérer un blocage des accès à votre site sur base du user-Agent utilisé.
Le referrer (référant en Français), s'il est mentionné, est le site qui a généré une requête sur le vôtre. Par exemple, lorsque quelqu'un arrive sur votre site après avoir cherché sur Google, le referrer est 'www.google.com'.
Lorsqu'un site tiers affiche un flux RSS proposé par le vôtre, le referrer est le nom de domaine du site tiers. En bloquant tel ou tel referrer, vous allez interdire le trafic venant de ces sites-là.
Certains scripts malveillants ciblent les sites Joomla!® et accèdent à une URL publique qui permet de créer des utilisateurs fantômes à la pelle. Si vous souhaitez interdire la création de comptes utilisateurs sur votre site et/ou si vous utilisez un composant tiers (comme Community Builder ou JomSocial), désactivez le composant natif com_users
Bloque l'accès direct (par URL) aux fichiers de votre dossier /administrator. Certains fichiers, comme les fichiers .XML, peuvent apporter trop d'informations à un éventuel hackeur (ex: la version précise de votre Joomla!®)
L'accès aux fichiers médias (css, js, png, ...) restera possible.
Dans le logfile de votre serveur Apache (pas celui de Joomla!®), vous constatez qu'il y a un grand nombre de lignes pour des URL du type index.php?option=com_xxxxx alors même que com_xxxxx n'a jamais été installé sur votre site. Il s'agit ici d'une tentative de hacking de votre site : probablement com_xxxxx est un composant Joomla!® pour lequel une faille de sécurité est connue et des hackeurs 'scannent' le web à la recherche de sites potentiellement attaquables.
Utilisez cette option pour bloquer ces URLs-là.
À partir de Joomla!® 1.7, Joomla!® enregistre dans le composant de redirection les URLs qui n'ont pas abouti, par exemple lorsque l'URL fait mention d'un composant non installé. Jeter un oeil sur cette table est instructif car elle permet de voir les URLs utilisées, éventuellement, par des hackeurs pour tenter de pénétrer votre site.
Les sites Web dynamiques utilisent des URLs avec un très grand nombre de paramètres; c'est le cas de Joomla!® qui utilise une URL de type index.php?option=com_users&view=registration. Ces URLs ne sont pas très intuitives pour un moteur de recherche et ne permettent pas de définir ce que fait la page; contrairement à p.ex. /inscriptions.html qui sera alors bien mieux référencé.
Le fichier robots.txt est placé à la racine de votre site et donne des consignes aux moteurs de recherche quant à ce que vous autorisez ou pas. Ainsi, par exemple, c'est grâce à robots.txt qui vous interdisez au moteur de recherche d'indexer les fichiers de votre dossier d'administration ou autres dossiers sensibles et privés.
Les redirections permettent de corriger certaines URLs pour les faire pointer vers d'autres adresses comme par exemple rediriger http://votresite/page-supprimee vers http://votresite/nouvelle-page. Il s'agit d'un outil particulièrement efficace pour corriger les URLs "mortes" qui sont mentionnées par des outils type Google Webmaster Tools.
La compression côté serveur (mod_gzip ou mod_deflate) est une fonctionnalité offerte par quasi tous les hébergeurs et qui permet de compresser en temps réel le code HTML de votre page web. Cette compression permet de fortement réduire le poids de la page et donc d'en permettre un affichage plus rapide.
Les fichiers statiques tels que les fichiers JavaScript, css, images, fontes web, ... sont par défaut téléchargés à chaque fois qu'une page est vue même si c'est le même utilisateur. Spécifier une durée de vie permet d'indiquer au navigateur web de ne pas télécharger le fichier s'il est déjà présent dans son cache.
Derrière ce terme barbare (minify en anglais) se cache une fonctionnalité qui va réduire le poids des feuilles de styles, fichiers html et javascript en supprimant à la volée les espaces et retour à la ligne inutile dans les fichiers. Le poids des fichiers étant allégé, le chargement de la page sera plus rapide.
Selon votre formule d'hébergement, vous pourriez avoir la possibilité d'accéder au 'crontab' : il s'agit d'une option, côté serveur, qui vous permet d'exécuter un job p.ex. toutes les heures, une fois par jour, le 1er jour du mois, etc.
aeSecure propose aux utilisateurs Pro un script qui, p.ex., peut être exécuté toutes les heures pour détecter les fichiers qui auraient été ajoutés ou modifiés sur votre serveur. Une notification par email sera alors envoyée; ce qui vous permettra d'immédiatement agir en cas de modification n'étant pas de votre chef.