La plupart des hackers savent que le dossier d'administration de votre site Joomla se nomme "administrator" et que l'accès au panneau d'administration se fait par une URL connue. Aussi, il est essentiel de protéger cet accès au maximum pour éviter de laisser "une porte ouverte" aux vilains. Ce tutoriel vous présente 3 méthodes différentes et efficaces pour protéger le panneau d'administration de votre site Joomla 4. Ces méthodes sont différentes dans leurs approches et dans leur mise en oeuvre. Il peut en exister d'autres.
Touchant à la sécurité de votre site, je vous conseille de travailler sur des copies des fichiers que vous serez amené à modifier durant ce tutoriel. En cas d'erreur de manipulation, il vous sera plus facile de revenir en arrière en disposant des fichiers d'origine intacts.
Protéger le panneau d'administration avec .htaccess
Le principe ici est d'autoriser l'accès au dossier administrator à une ou plusieurs adresses IP. Cela signifie que ctte méthode ne fonctionnera que si votre adresse IP est fixe.
Si vous ne connaissez pas l'adresse IP de votre ordinateur, ouvrez ce site www.adresseip.com et notez votre adresse (4 séries de chiffres, séparées par un point, ex: 12.345.678.90).
Sur votre ordinateur, ouvrez votre bloc-notes et créez un nouveau fichier .txt (nommez-le comme vous voulez). Dans ce document, collez ces deux lignes de code :
deny from all
allow from 12.345.678.90 (indiquez ici votre adresse IP) Explications :
- deny from all : cette instruction interdit l'accès à tout le répertoire dans lequel est placé le fichier txt,
- allow from : autorise l'accès au contenu du répertoire à l'adresse IP indiquée.
Si vous vous connectez au panneau d'administration de votre site depuis 2 ordinateurs ayant une adresse IP différente, il vous faut rajouter une deuxième ligne avec la seconde adresse IP sinon, vous serez bloqué.
Enregistrez votre fichier, ouvrez votre client FTP et transférez votre fichier sur votre serveur, dans le répertoire administrator à la racine de votre site Joomla.
Une fois le fichier transféré, renommez-le en .htaccess. Maintenant, seule l'adresse IP indiquée dans le fichier .htaccess peut se connecter dans la partie administrator de votre site.
Si vous ne pouvez plus accéder à votre site, procédez comme suit :
- Ouvrez votre client FTP,
- Ouvrez le répertoire administrator,
- Renommez le fichier
.htaccess en ce que vous voulez ou supprimez-le,Normalement, vous aurez de nouveau accès à votre site.
Masquer le panneau d'administration avec un dossier alternatif
Pour mettre en oeuvre cette méthode, nous allons utiliser un dossier alternatif pour accéder à l'administration de votre site Joomla.
Ouvrez votre client FTP, connectez-vous au serveur où est hébergé votre site Joomla 4, créez un nouveau dossier à la racine de votre site et nommez-le comme vous voulez (ex : "Dossier-alternatif").
Avec votre éditeur de texte, créez un fichier index.php sur votre ordinateur qui devra contenir le code suivant :
<?php
$admin_cookie_code="123456";
setcookie("JoomlaAdminSession",$admin_cookie_code,0,"/");
header("Location: ../administrator/index.php");
?>
Avec votre client FTP, transférez ce fichier index.php dans votre dossier "Dossier-alternatif" que vous avez créé précédemment.
Transférez sur votre ordinateur le fichier .htaccess présent à la racine de votre site Joomla 4 et ajoutez les lignes suivantes :
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
RewriteCond %{HTTP_COOKIE} !JoomlaAdminSession=123456
RewriteRule .* – [L,F]
Remplacez 123456 par la chaîne de caractère de votre choix en veillant à ce qu'elle soit identique dans les deux fichiers.
Pour accéder à votre panneau d'administration, saisissez maintenant votre nouvelle URL : https://www.mon-site.fr/Dossier-alternatif
C'est le cookie qui vous autorisera l’accès à l’administration Joomla jusqu’à la prochaine fermeture de votre navigateur.
Dans cet exemple, le dossier de connexion reste effectivement secret.
Sécuriser le panneau d'administration avec une extension tierce
Forte de plus 6 000 entrées, la bibliothèque des extensions Joomla est l'une des plus importantes. Parmi celles-ci, de nombreuses peuvent répondre à notre besoin initial : protéger le panneau d'administration de votre site Joomla 4.
Vous les retrouverez listées dans cette catégorie : https://extensions.joomla.org/tags/access-security/.
La plupart des hackers savent que le dossier d'administration de votre site Joomla se nomme "administrator" et que l'accès au panneau d'administration se fait par une URL connue. Aussi, il est essentiel de protéger cet accès au maximum pour éviter de laisser "une porte ouverte" aux vilains. Ce tutoriel vous présente 3 méthodes différentes et efficaces pour protéger le panneau d'administration de votre site Joomla 3. Ces méthodes sont différentes dans leurs approches et dans leur mise en oeuvre. Il peut en exister d'autres.
Protéger le panneau d'administration avec .htaccess
Le principe ici est d'autoriser l'accès au dossier administrator à une ou plusieurs adresses IP. Cela signifie que ctte méthode ne fonctionnera que si votre adresse IP est fixe.
Si vous ne connaissez pas l'adresse IP de votre ordinateur, ouvrez ce site www.adresseip.com et notez votre adresse (4 séries de chiffres, séparées par un point, ex: 12.345.678.90).
Sur votre ordinateur, ouvrez votre bloc-notes et créez un nouveau fichier .txt (nommez-le comme vous voulez). Dans ce document, collez ces deux lignes de code :
deny from all
allow from 12.345.678.90 (indiquez ici votre adresse IP) Explications :
- deny from all : cette instruction interdit l'accès à tout le répertoire dans lequel est placé le fichier txt,
- allow from : autorise l'accès au contenu du répertoire à l'adresse IP indiquée.
Si vous vous connectez au panneau d'administration de votre site depuis 2 ordinateurs ayant une adresse IP différente, il vous faut rajouter une deuxième ligne avec la seconde adresse IP sinon, vous serez bloqué.
Enregistrez votre fichier, ouvrez votre client FTP et transférez votre fichier sur votre serveur, dans le répertoire administrator à la racine de votre site Joomla.
Une fois le fichier transféré, renommez-le en .htaccess. Maintenant, seule l'adresse IP indiquée dans le fichier .htaccess peut se connecter dans la partie administrator de votre site.
Si vous ne pouvez plus accéder à votre site, procédez comme suit :
- Ouvrez votre client FTP,
- Ouvrez le répertoire "administrator",
- Renommez le fichier
.htaccess en ce que vous voulez ou supprimez-le,Normallement, vous aurez de nouveau accès à votre site.
Methode 2 : Dossier alternatif
Pour mettre en oeuvre cette méthode, nous allons utiliser un dossier alternatif pour accéder à l'administration de votre site Joomla.
Ouvrez votre client FTP, connectez-vous au serveur où est hébergé votre site Joomla 4, créez un nouveau dossier à la racine de votre site et nommez-le comme vous voulez (ex : "Dossier-alternatif").
Avec votre éditeur de texte, créez un fichier index.php sur votre ordinateur qui devra contenir le code suivant :
<?php
$admin_cookie_code="123456";
setcookie("JoomlaAdminSession",$admin_cookie_code,0,"/");
header("Location: ../administrator/index.php");
?>
Avec votre client FTP, transférez ce fichier index.php dans votre dossier "Dossier-alternatif" que vous avez créé précédemment.
Transférez sur votre ordinateur le fichier .htaccess présent à la racine de votre site Joomla 4 et ajoutez les lignes suivantes :
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
RewriteCond %{HTTP_COOKIE} !JoomlaAdminSession=123456
RewriteRule .* – [L,F]
Remplacez 123456 par la chaîne de caractère de votre choix en veillant à ce qu'elle soit identique dans les deux fichiers.
Pour accéder à votre panneau d'administration, saisissez maintenant votre nouvelle URL : https://www.mon-site.fr/Dossier-alternatif
C'est le cookie qui vous autorisera l’accès à l’administration Joomla jusqu’à la prochaine fermeture de votre navigateur.
Dans cet exemple, le dossier de connexion reste effectivement secret.
Méthode 3 : une extension tierce
Forte de plus 6 000 entrées, la bibliothèque des extensions Joomla compte parmi les plus riches qui soit. Parmi celles-ci, de nombreuses peuvent répondre à notre besoin initial : protéger l'accès au panneau d'administration de votre site Joomla. Nous allons donc travailler avec AdminExile qui présente plusieurs qualités importantes :
- efficacité éprouvée et vérifiée,
- bénéficie d'une excellente notation de la part de la communauté des utilisateurs,
- extension très simple à mettre en oeuvre et gratuite !
Téléchargez l'extension sur le site du développeur : AdminExile
Ouvrez votre panneau d'administration, ouvrez "Extensions - Gestion des extensions" et cliquez sur l'onglet "Archive à envoyer". Sélectionnez l'archive .zip de AdminExile sur votre disque dur et cliquez sur ""Envoyer & Installer".
Une fois l'extension installée, ouvrez "Extension - Gestion des plugins" puis localisez "AdminExile" au moyen de l'outil de recherche.
Ouvrez le plugin et remplissez les champs nécessaires (au besoin, référerez-vous à la documentation sur le site du développeur). Une fois votre saisie terminée, publiez le plugin puis cliquez sur "Enregistrer et fermer".
Dorénavant, toute demande d'accès à l'adresse http://mon-site.fr/administrator sera automatiquement redirigée vers la page de votre choix (champ "Redirect URL" dans les paramètres du plugin).