Aller au contenu
Support de Zwii
  • 0
AlCo74

Comment sécuriser son site sous Zwii

Question

Bonjour,

Ayant eu dans le passé un site hacké à plusieurs reprises en utilisant Joomla, je me demandais quelques conseils vous pouviez me donner afin de sécuriser au mieux un site sous Zwii.

Merci d'avance pour vos conseils

Partager ce message


Lien à poster
Partager sur d’autres sites

14 réponses à cette question

Messages recommandés

  • 0
il y a 10 minutes, AlCo74 a dit :

Ayant eu dans le passé un site hacké à plusieurs reprises en utilisant Joomla

 

@Fred travaille en ce moment à sécuriser les formulaires, notamment celui de connexion pour éviter les intrusions, voir le sujet dédié :

 

Par ailleurs, qu'entends-tu précisément par "site hacké à plusieurs reprises", que s'est-il passé ? Qu'est-ce que les hackeurs ont fait ?

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Bonjour et merci pour ces réponses.

 

En fait, je ne suis pas très au clair sur ce qui s'est passé précisément (en plus cela remonte à plusieurs années), mais mon hébergeur m'a informé avoir mis le site hors-ligne car il générait du spam. Il semblerait qu'une intrusion ait eu lieu dans la base de données.

J'ai du réinstaller tout le site + restauration d'un base sauvegardée + ajout des différences.

Mais quelques semaines plus tard, le même problème s'est reproduit. à la suite de cela j'ai installé un plugin d'authentification supplémentaire qui a réglé le problème . Comme je compte migrer bientôt ce site sous Zwii, je voudrais être sur de connaître les bonnes pratiques pour éviter ces galères.

 

Je suis preneur de tous conseils, il me semble avoir vu qu'il valait mieux ne pas laisser trainer les backup, mais je ne me souviens plus pourquoi.

 

Merci à tous/tes

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Bonjour @AlCo74,

 

Tout d'abord peux-tu modifier l'objet de ton message, en éditant ton premier message, pour mettre Zwii au lieu de Ewii.

 

Pour n'importe quel site le parcours des dossiers ne doit pas être possible en saisissant le chemin des dossiers : soit ça se règle au niveau du .htaccess soit avec un fichier index adéquat dans chaque dossier. Ce sur point zwii est paré.

Ensuite à une époque je recevais de plus en plus de messages via le formulaire de contact : j'ai alors activé la captcha pour pouvoir valider le message et ça a stoppé net. Mais depuis quelques temps je reçois à nouveau un ou 2 messages par ci par là : la nouvelle captcha en développement, si j'ai bien compris s'est même terminé, devrait résoudre ce problème.

Et cette nouvelle captcha est maintenant disponible pour se connecter à son compte zwii : ça devrait là encore éviter des désagréments, bien que sur le forum je ne crois pas que des accès non désirés au site soient remontés.

Par ailleurs zwii n'a pas de base de données : tout est dans différents fichiers json. Alors ça peut se pirater aussi, mais il me semble bien me souvenir que ces fichiers sont protégés et non accessibles par un lien direct.

Tout ça pour te dire qu'à priori zwii est tout de même bien sécurisé, et encore plus avec les récentes modifications.

 

Mais en informatique rien n'est impossible : zwii intègre une sauvegarde automatique, mais j'en fais une par ailleurs que j'héberge en local... on n'est jamais trop prudent.

 

Philippe

Modifié par augras

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Je viens de me rendre compte que désormais l'identifiant de connexion était conservé : si ça a un côté pratique ce n'est pour le coup pas très sécurisant.

En 10.2.09 ce n'était pas le cas, je n'ai pas fait attention en 10.3.0, mais en 10.3.01 et la future 10.3.02 c'est le cas.

Philippe

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Bonjour @AlCo74

Dans la configuration du site, il existe des options qui permettent de sécuriser la connexion en limitant le nombre de tentatives successives. Dans la version à venir, on pourra ajouter un captcha lors de la saisie du mot de passe afin de limiter les intrusions par bot.

Pour ce qui est du spam, si c'est un humain qui rédige le message, captcha ou pas il y en aura toujours.

Zwii n'a pas de base données au sens SQL, l'accès aux données est un peu plus compliqué, pas de serveur à attaquer.

Il y a 17 heures, augras a dit :

Je viens de me rendre compte que désormais l'identifiant de connexion était conservé : si ça a un côté pratique ce n'est pour le coup pas très sécurisant.

En 10.2.09 ce n'était pas le cas, je n'ai pas fait attention en 10.3.0, mais en 10.3.01 et la future 10.3.02 c'est le cas.

Philippe

L'identifiant est conservé EN LOCAL si la case "se souvenir de moi" est cochée, ce qui n'a rien d'insécurisant. Je précise que depuis la v10, on peut avoir qu'une connexion simultanée avec le même compte, les anciens sessions sont invalidées.

Évidement, un vrai mot de passe et un id de compte pas évident à découvrir peuvent aussi bien aider.

Enfin l'activation de la journalisation permet de voir passer les usagers et notamment les petits malins qui tentent des URL de hacking pour Wordpress.

Bon dimanche

 

 

  • J'aime 1

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Juste pour préciser que venant de faire une nouvelle mise à jour vers la version 10.3.01 l'id apparaît renseignée automatiquement bien que la case "se souvenir de moi" ne soit pas cochée. Par contre si ça se passe comme pour les maj d'hier tout reviens à la normale ensuite. Pas d'explication : c'est le constat de la situation.

 

Si @AlCo74 pensait à la sécurité du site en lui-même pour éviter les piratages à distance il ne faut pour autant pas oublier la sécurité de son poste de travail en le protégeant avec un accès par identifiant/mot de passe, ne pas conserver les id/mot de passe dans le navigateur internet après sa fermeture, dans l'idéal pas du tout (et en plus ça évite de ne pas se souvenir d'un mot de passe) : si l'identifiant est conservé le pirate n'a plus que le mot de passe à trouver ; sans oublier un antivirus à jour, etc... L'essentiel du piratage en entreprise relève d'employés mécontents, qu'ils soient toujours employés où partis d'ailleurs. Dans l'idéal on verrouille sa session si on n'est pas devant son poste de travail et sinon une veille relativement courte  doit le faire pour les têtes en l'air ou récalcitrants à un minimum de sécurité : quelques secondes seulement sont nécessaires pour s'installer devant une session ouverte, alors une veille au bout d'une heure autant laisser le coffre fort ouvert !

Mieux vaut prévenir que guérir, mais même avec toutes ces précautions rien n'est impossible : ce sont donc les obstacles et leur multiplicité qui retardent le plus longtemps possibles les possibilités de mauvaises actions qui amènent à leur abandon avant d'avoir pu nuire.

C'est comme pour une maison : celui qui veut entrer le fera, ce n'est qu'une question de temps... plus il se rend compte que se sera long et plus vite il ira voir ailleurs.

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0
il y a 49 minutes, augras a dit :

Juste pour préciser que venant de faire une nouvelle mise à jour vers la version 10.3.01 l'id apparaît renseignée automatiquement bien que la case "se souvenir de moi" ne soit pas cochée. Par contre si ça se passe comme pour les maj d'hier tout reviens à la normale ensuite. Pas d'explication : c'est le constat de la situation.

Je confirme que cela ne se produit plus : c'est donc juste après la maj et seulement pendant un temps indéterminé relativement court (autour d'une heure).

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Normalement quand tu te déconnectes, le cookie avec le user  est détruit. 

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Et bien ce soir sur le site de test de la 10302 l'id de l'admin est bien présent : navigateur paramétré pour ne rien conserver après la fermeture et se souvenir de moi est bien décoché.

Site installé samedi.

Un coup ça va, un coup ça vient : l'id de l'admin joue au yoyo.

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Connexion sans le bouton coché, dans l'inspecteur, les cookies sont visibles :

 

image.png.2d2be9bd8c942dd577225a572fd29a95.png

 

Logout :

 

image.png.122d4c7202cac32365bed39a8ea8fe14.png

 

Option cochée :

image.png.0adcbc98d7363867b6adbef5b8795fda.png

 

longtime est sur TRUE

 

Déconnexion :

Le user est stocké ainsi que l'info sur la mémorisation de la connexion :

image.png.e907941c946c21a4c679354d57c85d84.png

 

Nouvelle connexion LONG TIME sans la mémorisation passe à false.

 

Déconnexion :

 

image.thumb.png.d31ed37cff517d9dff49c0ca3048eb4f.png

 

Test fait en local avec la dernière version de Firefox.

 

Voici le détail de la fonction logout, elle fait exactement ce qui est demandée.

	/**
	 * Déconnexion
	 */
	public function logout() {
		// Ne pas effacer l'identifiant mais seulement le mot de passe
		if (array_key_exists('ZWII_USER_LONGTIME',$_COOKIE)
			AND $_COOKIE['ZWII_USER_LONGTIME'] !== 'true' ) {
			helper::deleteCookie('ZWII_USER_ID');
			helper::deleteCookie('ZWII_USER_LONGTIME');
		}
		helper::deleteCookie('ZWII_USER_PASSWORD');
		session_destroy();
		// Valeurs en sortie
		$this->addOutput([
			'notification' => 'Déconnexion réussie',
			'redirect' => helper::baseUrl(false),
			'state' => true
		]);
	}

 

Maintenant, tu as peut-être une configuration qui sorte de  l'ordinaire, mais il faut en dire plus, notamment sur le navigateur et les paramètres, c'est quand même lui qui gère tout ça.

 

Pour rassurer les paranoïaques il existe des options dans Firefox :

 

image.png.d80925a24008587db03aa37ad85bae2f.png

 

 

 

 

 

 

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Après lecture de ton message j'ai retenté une connexion sur le test de la 10.3.02 et là l'id admin n'est pas présent : ça fait vraiment le yoyo.

Je constate cela à la fois sur firefox et sur chrome.

Je n'enregistre jamais mes identifiants et mots de passe et je ne coche donc jamais la case "se souvenir de moi" ou "rester connecté".

Je ne conserve jamais les cookies au-delà du temps d'ouverture de la fenêtre du navigateur et les cookies tiers sont interdits (mais là ça n'intervient pas).

Il n'y a donc à priori aucune raison pour que cet identifiant revienne... quand il a envie, d'où mon signalement.

Jamais eu se problème antérieurement ni avec zwii ni avec d'autres sites : ma configuration est toujours la même et je vérifie après une mise à jour s'il y a eu des changements de paramètres.

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0
il y a 1 minute, augras a dit :

Il n'y a donc à priori aucune raison pour que cet identifiant revienne... quand il a envie, d'où mon signalement.

Donc ton navigateur ne fait pas boulot.

 

Dans la mesure ou je ne peux pas reproduire un "bug", pour moi ce n'est est pas un.

 

Le dernier signalement très détaillé de @sylvainlelievre m'a permis de comprendre l'origine et de le corriger.

 

Si tu m'en dis pas plus, je ne peux rien faire.

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Désolé de ne pas être revenu plus tôt mais semaine chargée !

Je viens de mettre à jour 6 sites de 10.3.01 vers 10.3.02 tout en automatique et ce soucis, uniquement chez moi sur ma version de tests, n'existe apparemment pas suite aux maj. Tant mieux.

Pour revenir à la problématique de départ je pense que la sécurité "passive" de zwii est plutôt bonne.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à cette question…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...