Sécuriser & Optimiser vos sites web avec aeSecure

Simon Grange.

La sécurité d'un site web est une des choses les plus importantes pour un webmaster. En effet, il ne suffit pas de travailler durement sur un projet, parfois sur un serveur local, de faire différents tests, de tout mettre en place, puis une fois que tout est enfin prêt, de mettre le site en ligne et de se féliciter.

En effet, la sécurité d'un site Joomla! (comme de n'importe quel site) est un travail quotidien, ou presque, qu'il est important de ne pas prendre à la légère.
Un site web correctement sécurisé vous apporte de la pérénité dans votre projet, rassure vos utilisateurs et vous évite surtout des (dizaines d') heures de travail en cas de piratage.
Y consacrer quelques instants régulièrement est donc préférable que devoir y passer une nuit blanche en cas de soucis.

 

Consignes élémentaires de sécurité pour Joomla!

Si votre site n'est pas propulsé par Joomla!, vous pouvez passer cette partie.

La majorité d'entre vous le sait sûrement, mais je vais quand même le répéter, pour qu'un site web soit sécurisé vous devez :

  • Tenir votre site à jour. Vous devez donc TOUJOURS utiliser la dernière version STABLE (LTS ou STS) de Joomla! disponible. L'équipe de développement de Joomla! met toute son énergie pour vous proposer des patchs correctifs. De votre côté, vous n'avez qu'à appliquer ces patchs en quelques clics. C'est simple donc profitez-en. (Si besoin, voir Comment faire une mise à jour sur Joomla!3).
  • Tenir à jour TOUTES les extensions installées sur le site. Les (bons) développeurs mettent toute leur énergie à vous proposer des patchs correctifs. De votre côté, vous n'avez qu'à appliquer ces patchs, pour la grande majorité en quelques clics. C'est simple donc profitez-en.
    Pour rappel, un template est une extension.

NOTE : Comme TOUJOURS, avant d'apporter une mise à jour (de Joomla! ou d'une extension tierce) SAUVEGARDER votre site. Grâce à une extension formidable nommée Akeeba Backup, une sauvegarde se fait en quelques clics.

Vous l'aurez compris, la sécurité (en ce qui concerne les mises à jour), et la sauvegarde de votre site est une histoire de clics... Vous n'aurez donc pas d'excuse si votre site et les extensions installées ne sont pas à jour ou si vous n'avez pas de sauvegarde (récente) à remonter en cas de problème.

Mais ce n'est pas tout…

Grâce à différentes extensions, il est possible d'apporter une couche de sécurité supplémentaire à la protection de votre site (et donc de votre travail, de vos utilisateurs, de vos données, de vos heures de sommeil,…).
Ces extensions vous permettent par exemple de cacher la page de connexion de l'administration de votre site (un hackeur aura plus de mal à trouver la clé d'une porte qu'il ne voit pas), de cacher certains fichiers de Joomla! (à travers lesquels il est possible de détecter la version de Joomla! que vous utilisez), ainsi que d'apporter d'autres éléments de sécurité.

 

aeSecure


L'extension que nous allons voir aujourd'hui s'appelle aeSecure.

Pour vous en faire une idée, une démo fonctionnelle est accessible sur le site de l'auteur : http://aesecure.com/fr/demo.html

Notons tout de suite qu'en plus de sécuriser d'avantage votre site, aeSecure va également en améliorer les performances, comme par exemple accélérer le temps de chargement des pages, ce qui est un avantage non-négligeable.

 

Comment fonctionne aeSecure

aeSecure intercepte tous les accès à votre site web avant même que l'URL n'atteigne vos pages php. Ainsi, Joomla par exemple, ne verra même pas une URL dangereuse, car bloquée par aeSecure.

Une fois bloquée, un écran contextuel "accès interdit" s'affiche. Contextuel car l'information qui y figure indique la raison du blocage, et en tant que gestionnaire du site, vous pouvez décider de recevoir ou non des notifications par email. Dans ce cas vous serez averti des tentatives ; l'email reprenant un grand nombre d'informations dont une carte GoogleMap de l'endroit d'où provient l'accès illégitime (basé sur l'IP du visiteur).

 

Télécharger aeSecure

Pour télécharger aeSecure, vous devez vous rendre sur le site aeSecure.com, onglet téléchargement. Sur cette page, vous retrouvez différentes offres vous proposant différentes fonctionnalités, ainsi qu'un éventuel support (très réactif).

Dans ce tutoriel, nous allons utiliser la version gratuite d'aeSecure et voir en revue les différentes fonctionnalités.

 

Installer aeSecure

Pour installer aeSecure sur votre site, c'est très simple. A noter que ce n'est pas une extension Joomla!, il ne s'installe pas via le gestionnaire d'extensions et peut être utilisé pour tous les sites fonctionnant sous serveur Apache. aeSecure peut donc également être utilisé, par exemple, sur des sites propulsés par Drupal ou Wordpress ou tout autre site php.

Une fois le téléchargement terminé, vous obtenez un fichier nommé "aesecure.php". Prenez simplement ce fichier puis placez-le (à l'aide d'un client FTP pour un site en ligne) à la racine de votre site.

Une fois le transfert terminé, accédez à l'adresse www.votresite.com/aesecure.php.

Si besoin, voici le lien vers la doc d'installation : http://www.aesecure.com/fr/documentation/rapide/telechargement.html

Vous accédez à cette page :

Installation aeSecure

 

1 - Dite bonjour à Nono, c'est lui qui va dorénavant sécuriser votre site.

2 - Prenez le temps de lire les mises en garde, puis cocher les deux cases.

3 - Important ! : Afin de sécuriser l'accès à l'écran de configuration, aeSecure a créé une clé, que vous devez noter. Si vous ne notez pas cette clé, vous ne pourrez pas accéder à votre écran de configuration. Notez-la 2 fois. Pour ceux qui auraient perdu leur clé, vous pouvez consulter cette page.

Note : Vous pouvez également ajouter cette adresse URL dans vos favoris, afin de ne pas avoir à la saisir de nouveau.

4 - Cliquez sur le bouton pour terminer l'installation.

 Vous arrivez sur cette page :

aeSecure Présentation

1 - Un menu vous permettant de naviguer à travers les différentes parties d'aeSecure.

2 - Un menu vous permettant de vous rendre sur le site de l'auteur, de naviguer à travers les différentes parties d'aeSecure (semblable à 1), différents outils comme vos fichiers .htaccess ou php.ini ainsi que vos logs et enfin des liens vers la documentation et le forum de l'auteur.

3 - Un bouton qui vous permet de vérifier que vous utilisez bien la dernière version d'aeSecure.

4 - Les différentes parties d'aeSecure. 

 

En navigant à travers les différentes parties (grâce aux menus ou tout simplement en scrollant la page) vous remarquerez que chaque élément possède un petit sticker avec un degré d'importance :

Must : Les paramètres que vous devez faire en priorité. Ceux-ci vont accroître aussi bien la sécurité que l'optimisation de votre site web. Il s'agit des options 1 et 2 qui sont obligatoires ; la protection n'est activée que si ces deux options sont appliquées.

Good : Les paramètres pas forcément "primordiaux" mais qui peuvent être intéressants pour sécuriser d'avantage votre site web, ou certaines parties.

Need ? : Il s'agit de protection dont vous n'aurez pas forcément besoin ou de manière occasionnelle comme, par exemple, désactiver totalement l'accès à votre site excepté vous (mode maintenance).

Extrem : Les paramètres très avancés et très restrictifs, mais qui peuvent apporter des dysfonctionnements à votre site. La protection par « liste blanche d’adresses IP » (option 2.1) p.ex. est fortement restrictive mais n’a nulle pareille en matière de protection d’accès.

Avant d'activer chacune de ces actions, prenez bien le temps de l'analyser, puis de tester votre site.

Pour chacun des paramètres nous retrouvons plusieurs onglets :

Paramètres aeSecure

1 - Introduction : vous présente la fonctionnalité succintement.

2 - Explications détaillées : vous donne plus d'information sur la fonctionnalité

3 - Tester : vous permet de tester la fonctionnalité.

4 - Protéger ! : vous permet de mettre en place la fonctionnalité.

Note : L'onglet Tester n'est pas présent sur toutes les fonctionnalités.

Note : Avant d'activer une fonctionnalité, vous devez bien réfléchir à ce que vous faites. Renseignez-vous sur votre installation ainsi que sur votre hébergeur, certains hébergeurs ne prennent pas en compte, par exemple, les fichiers php.ini.

 

Les meilleures fonctionnalités

 

Un écran qui centralise toutes les fonctionnalités

Un des avantages intéressants d'aeSecure est que l'ensemble des fonctionnalités est réuni sur la même page. Vous n'avez donc pas à ouvrir une partie pour en régler une, enregistrer, puis ouvrir une autre partie, etc...

Vue d'ensemble multi-sites

Avec l’offre « Pro », vous pourrez regrouper dans une seule page centrale une vue d’ensemble de tous vos sites protégés par aeSecure.   Vous aurez accès en un coup d’œil aux numéros de versions installées ; si vous êtes à jour ou pas et différentes actions possibles comme installer une version plus récente sur le site distant ; pratiquement sans quitter l’interface d’administration.

Simplicité d'utilisation

L'ensemble des fonctionnalités se règle à l'aide d'un bouton on/off. Il est donc possible d'activer/désactiver une fonctionnalité par un simple clic.

 

Des fonctionnalités segmentées

Il est facilement possible d'activer (ou désactiver) seulement la (ou les) fonctionnalité(s) dont on a besoin. Cela est très pratique, surtout que les besoins peuvent varier d'un site à l'autre.

 

Des explications claires et détaillées

Chaque fonctionnalité comporte plusieurs onglets dont une Introduction et des Explications détaillées. Cela permet à chaque utilisateur (quel que soit son niveau) d'avoir un maximum d'information sur l'action qu'il s'apprête à apporter à son site.

 

Une interface utilisant Bootstrap

L'utilisation de Bootstrap, qui est également utilisée dans Joomla 3.x, permet une utilisation confortable, quel que soit le support utilisé (ordinateur de bureau, ordinateur portable, tablette, smartphone).

 

Sécurité & Optimisation

Même si le sujet principal de cet article est la sécurité, il est important de noter qu'aeSecure est également un logiciel d'optimisation. En quelques clics il est possible d'implémenter des règles .htaccess qui permettent de définir le cache d'un grand nombre de fichiers statiques, d'activer la compression serveur et d'activer mod_pagespeed de Google. Et cela avec 3 boutons on/off.

 

Assistance aux sites piratés

Vous avez un site piraté ? Installez aeSecure vous retrouverez (dans le menu Outils) différents outils permettant la recherche des fichiers récemment modifiés, ou la recherche de codes malicieux comme par exemple les Trojans.

 

Gestion des permissions des dossiers/fichiers

Avec la version premium d'aeSecure, vous pourrez gérer les permissions des fichiers et dossiers de votre site et obtiendrez des informations du type quel est le meilleur chmod pour ce fichier, quel chmod je ne dois pas dépasser pour celui-ci, etc.

 

Un fichier zip de votre site web

Vous pouvez facilement obtenir un fichier .zip de l'intégralité de votre site (ou d'un fichier/dossier en particulier) dans le but, par exemple, de scanner ces fichiers en local.

 

Les différentes parties

Sécurité de base/obligatoires

Dans cette partie, vous pourrez améliorer grandement la sécurité de votre site web.

Quelques exemples :

  • Ajout d'un fichier .htaccess contenant de nombreuses règles accroissant la sécurité de votre site web. Ce fichier remplacera celui que vous utilisez ; votre fichier .htaccess d’avant l’installation sera sauvé dans le dossier /aesecure/backups de votre site web puis sera inclus dans le fichier mis en place de telle manière que toute votre configuration est récupérée de manière totalement transparente pour vous.
  • Protection des dossiers par l'ajout de différents fichiers .htaccess afin de restreindre l'accès à certains dossiers "clés" (comme le répertoire /tmp).
  • Masquage des erreurs Apache afin de ne pas donner d'informations aux éventuels hackeurs.
  • Vérification qu'aucun dossier/fichier n'est en chmod 777, afin que n'importe qui ne puisse pas modifier/exécuter de fichier.
  • Bannissement de certaines adresses IP (depuis la version 1.0.8)

 

Sécurité additionnelle

Dans cette partie, vous pourrez ajouter des règles supplémentaires pour accroître la sécurité de votre site web, ou de certaines parties.

Quelques exemples :

  • Restriction de l'accès à un dossier selon l'adresse IP, ce qui permet de restreindre par exemple l'accès au dossier /administrator (pour les utilisateurs de Joomla!) seulement aux ordinateurs utilisant des adresses IP prédéfinies.
  • Protection par mot passe, ce qui permet, par exemple, de protéger l'accès à la page votresite.com/administrator avec un mot de passe supplémentaire (.htpasswd).
  • Limitation de l'accès au site par les robots, évitant par exemple les aspirateurs de sites.
  • Blocage de l'indexation de certains dossiers en interdisant aux moteurs de recherche de proposer des liens vers des éventuels fichiers .zip.
  • Blocage de l'accès aux fichiers cachés (commençant par un ".") comme par exemple les .backup, par exemple.

 

Permissions

  •  Spécifications des droits (chmod) à apporter aux fichiers et dossiers de votre site

 

Joomla!

Dans cette partie, vous pourrez vous concentrer sur la sécurité des sites propulsés par Joomla!.

Quelques exemples :

  • Contrôle de la version de Joomla!.
  • Blocage des inscriptions natives de Joomla!, afin que personne ne puisse s'inscrire en utilisant une URL. Attention, assurez-vous que les utilisateurs n'aient pas besoin de s'inscrire sur votre site (remarque : vous pouvez parfaitement désactiver les inscriptions natives et autoriser les inscriptions via Community Builder si vous utilisez ce dernier).
  • Protection des fichiers de l'administration, toujours dans un souci de cacher des informations primordiales aux éventuels hackeurs. Exemple : interdire un accès aux fichiers xml ou ini (fichiers de langue) se trouvant dans votre dossier d’administration)
  • Restriction de l'accès à certains composants.

 

SEO (Search Engine Optimization)

Dans cette partie, vous allez pouvoir améliorer votre référencement :

  • Réécriture d'URL, afin de proposer des URL lisibles aux moteurs de recherche ainsi qu'à vos visiteurs.
  • Avec ou sans www, afin d'éviter le duplicate content qui n'est pas du tout apprécié par les moteurs de recherche. 

 

Optimisation du site

Cette partie va vous permettre d'améliorer les performances de votre site web, comme par exemple le temps de chargement des pages. Cela est (selon certains) bon pour le référencement du site, mais surtout agréable pour vos visiteurs :

  • mod_pagespeed.
  • Compression coté serveur.
  • Durée de vie des fichiers statiques.
  • Empêcher le hotlinking.

 

Divers

  • Vider le dossier temporaire /tmp, ce qu'il est utile de faire de temps en temps.

 Pour finir :

  • aeSecure est actuellement disponible en Anglais, Français et Portugais ; partiellement en Espagnol. L’auteur s’engage à donner un abonnement Premium+ illimité dans le temps à toute personne traduisant le programme dans une lange qui n’est pas encore supportée.
  • aeSecure est toujours en phase de développement ; des nouvelles fonctionnalités étant ajoutées chaque semaine.

 

Conclusion

Tout comme nous l'avons vu pour les mises à jour et les sauvegardes, sécuriser & optimiser votre site web avec l'aide d'aeSecure est encore une question de quelques clics. L'installation et le paramétrage ne prennent que quelques instants, mais cela vous permet d'ajouter plusieurs couches de sécurité afin de renforcer celle de votre site web. 

Comme pour n'importe quelle extension, si vous utiliser aeSecure et que vous en êtes satisfait, pensez à faire un don à l'auteur ou à prendre une version commerciale, pour le remercier, l'encourager dans son projet et, avantage non négligeable, bénéficier de la pleine puissance du programme !

 

Sur ce site, nous utilisons des cookies.