Accueil arrow Toutes les questions... arrow Sécurisez votre administration

Sécurisez votre administration Convertir en PDF Version imprimable Suggérer par mail
25-04-2007

Sécurisez votre administration par un fichier .htaccess (apache)

Pour protéger un peu plus votre panneau d'administration contre les attaques, vous pouvez protéger votre répertoire administrator par un fichier htaccess.

Il y a plusieurs options disponibles :

  • accès restreint par une adresse ip.
  • une protection par mot de passe.

Accès limité à certaines adresses IP.

Si vous possédez une adresse IP fixe, il est possible d'autoriser l'accès au panneau d'administration de Joomla! uniquement depuis votre adresse IP !
La mise en place est facile : créez un fichier .htaccess dans le répertoire administrator et insérez-y ces quelques lignes :

<Limit GET>
    Order Deny,Allow
    Deny from all
    Allow from 10.0.0.150
</Limit>

Changez bien sûr le 10.0.0.150 par votre adresse IP fixe (attention pas d'adresse changeante !). Vous pouvez aussi utiliser une partie de l'adresse, par exemple 10.0.0
Les visiteurs qui ont une autre adresse IP auront une erreur d'accès "403 Forbidden error"
Vous pouvez bien sûr ajouter plusieurs adresses IP en les séparant par une virgule : 10.0.0.150,10.0.0.151

Protection par mot de passe

Une autre méthode est d'ajouter un mot de passe en plus de celui de Joomla!. En effet, le mot de passe d'admin de Joomla! est stocké dans sa base de donnée. Ici le mot de passe est géré par le htaccess.

Même méthode que précédemment : créez un fichier .htaccess dans le répertoire administrator et insérez-y ces quelques lignes :

AuthType Basic
AuthName "Joomla Administrator"
AuthUserFile /full/path/to/joomla/administrator/.htpasswd
<Limit GET>
require valid-user
</Limit>


Modifier le /full/path/to/joomla pour correspondre à celui de votre hébergeur. (attention le chemin physique, pas l'url !)

Dans le même répertoire, créez une fichier .htpasswd vide. Vous y saisirez les noms d'utilisateurs et le mot de passe crypter dans ce fichier. Aie j'ai dis "crypter" (on va pas le mettre en clair non ?), rassurez vous il y a un petit truc sympathique : http://www.flash.net/cgi-bin/pw.pl. Vous entrez le nom d'utilisateur et le mot de passe et vous cliquez sur "encrypt"..sur la page suivant, vous avez le "user name" et le "password" qui doivent être insérés dans le fichier .htpasswd :
par exemple : admin:2SytLv3fBwwvM pour user = admin et password = mon_mot_de_passe.

Si vous voulez autoriser une autre personne, insérer son nom d'utilisateur + son mot de passe crypté sur une nouvelle ligne..

Vous pouvez pousser le vice plus loin en combinant les 2 techniques.
 
< Précédent   Suivant >
[ Retour ]