Thelia 2 est maintenant disponible. Retrouvez toutes les informations ici
Thelia 2 is now available. Find all the information here

Un conseil de sécurité

Le blog TheliaFlux rss


< THELIA 1.3.6.1 - Mise à jour de sécurité THELIA 1.3.7 pre1 >
2008
2
juillet

Un conseil de sécurité

par Yoan De Macedo

La sécurité est un point à ne pas négliger.

En effet THELIA devient de plus en plus populaire (et tant mieux) et nous allons être confrontés aux mêmes soucis que nos homologues.

Des tentatives de malveillances vont arriver c’est certains.

Il existe un conseil très simple à appliquer qui consiste à renommer votre répertoire admin en lui donnant un nom plus personnel (difficile à deviner).

Cette simple précaution pourra vous rendre de grands services. Il faut mieux prévenir que guérir !

MAJ : n’oubliez pas d’éditer client/pdf/facture.php et de remplacer admin par le nom de votre répertoire.

tags :

20 Messages de forum

  • Le 2 juillet 2008 à 19:55

    Je me permet également de linker ce post où je proposait une alternative : forum.thelia.fr/viewtopic...

    Ainsi que celui-là : forum.thelia.fr/viewtopic...

    Je proposais dans ce deuxième post une alternative assez originale, qui consistait à rediriger de manière transparente l’attaquant (ou les curieux) vers un back office fictif. Du coup, plutôt que de bloquer l’attaquant, vous pouvez le laisser s’amuser à tout "défoncer" et perdre son temps ... C’est très rigolo :)

    psai

  • Le 17 juillet 2008 à 16:12

    Hallucinant ! C’est tout sauf de la sécurité ça ! Trouvez vite une autre solution !

    maathieu

  • Le 17 juillet 2008 à 16:32

    Qu’est ce que tu racontes ? Je n’ai pas dit que c’était la seule chose.

    Mais c’est une précaution supplémentaire importante.

    Enfin bon ...

    Yoan

  • Le 22 juillet 2009 à 20:05

    Il m’est déjà arrivé de tomber sur une boutique Thelia dans la catégorie "Les derniers thelia" avec l’admin en /admin et admin/admin pour les password.

    Donc oui c’est bien la base.

    jojo

  • Le 31 août 2009 à 10:24

    Pour ma part,

    index.php pointe vers "9856d4fdfg_index.html"

    adresse.php pointe vers "567486pzld_adresse.html"

    etc etc...

    Un peu plus de sécurité, simple et rapide à mettre en oeuvre !

    Zorback

  • Le 1er septembre 2009 à 11:59

    Il ne suffit pas de renommer le dossier admin par le nom souhaité et le mettre en ligne ? il faut mettre à jour tous les liens également, non ?

    Merci

    luc

  • Le 6 octobre 2009 à 19:47

    une chose me sidère : c’est tous les répertoires que l’instalateur demande de laisser en accès total ! je n’en vois pas l’intérêt, mais en plus en terme de sécurité c’est un vrai n’importe quoi.

    gilcot

  • Le 7 octobre 2009 à 09:11

    Il demande un accès total au serveur Apache normal car celui-ci a besoin d’écrire tout simplement.

    Yoan

  • Le 12 novembre 2009 à 17:44

    Bonsoir,

    J’ai beau chercher, en 1.4.2.1, je ne localise pas du tout les fichiers à modifier pour faire intégrer au système que l’on a renommé "admin" ???

    Quelqu’un pour éclairer ma lanterne ?

    Merci beaucoup.

    Loiseau2nuit

  • Le 12 novembre 2009 à 17:46

    Salut,

    Il faut renommer le dossier donc admin puis modifier le fichier client/pdf/facture.php (en remplacant "admin" par ce que tu auras mis) et c’est tout.

    manu

  • Le 10 février 2010 à 07:30

    Bonsoir,

    Juste pour vous demander : qu’entendez vous par "sécuriser la page d’admin" ?

    N’utilise-t-elle pas les sessions ? Il est possible de s’y connecter sans entrer le mot de passe admin ?

    Vous avez des tests à ce sujet ?

    Merci d’avance,

    Cédric

    cebelab

  • Le 21 mai 2010 à 12:28

    Quand on voit de tels conseils, on ce dit que la sécurité chez Thelia est vraiment fait a l’arrache...

    Je pense que ses développeur auraient due s’informer d’avantage sur les problèmes de sécurité sur internet avant de se lancer dans le développement d’un outil de vente en ligne.

    Je ne serais pas étonné que les personnes qui utilisent cet outil rencontre des problèmes et je déconseille fortement son utilisation.

    Yann

  • Le 21 mai 2010 à 14:20

    On donne juste un conseil pour se prémunir de tentatives d’intrusions de type bruteforce par exemple.

    Mais nous sommes toujours preneurs de conseils avisés de personnes aussi pointues que vous prétendez l’être...

    Et pour votre information non non la sécurité n’est pas fait à l’arrache et on y accorde beaucoup d’importances et nous n’avons pour l’instant pas à déplorer d’attaques sur notre systèmes (touchons du bois).

    Merci pour votre message même si au final il n’est pas si constructif :-)

    manu

  • Le 15 juin 2010 à 05:43

    Pour ma part, je trouve ce produit bien fait, mais dans le fichier client/pdf/facture.php il n’y a pas "admin"

    merci de me renseigner

    robert

  • Le 4 août 2010 à 14:43

    @robert si si il est dans le fichier client/pdf/facture.php (ligne 36 chez moi) include("../../admin/facture.php") ; et c’est celui-ci qu’il faut modifier avec le nouveau nom de dossier.

    Par contre petite question.

    Je passe par spip pour mon site. J’ai fait une MAJ de 1.4.0 à 1.4.3.1, tout s’est bien passé, sauf que pour accéder au back office je me suis vu obligé de renommer le dossier admin, ce que j’ai fais via le ftp, ainsi que le fichier client/pdf/facture.php. Mon problème est que je ne peu accéder à mon admin Thelia qu’en y mettant l’url de l’admin direct, quand je passe par l’admin de spip le lien du plugin thelia ne fonctionne pas et je ne sais pas où modifier celui-là. Voyez-vous ?

    Merci

    D’avance

    luc

  • Le 4 août 2010 à 16:09

    Je me réponds à moi même. Il faut pour ça modifier le fichier spip_thelia_catalogue.php

    luc

  • Le 17 août 2010 à 16:28

    Pourquoi l’un des "experts en sécurité réseau" qui critiquent Thelia ne donnerait il pas un conseil pour une mise à jour, ou une analyse technique des différentes failles qu’ils ont rencontré avec les modifications à effectuer ? Ce serait une bonne aide pour la communauté je pense...

    Jimdu31

  • Le 2 décembre 2010 à 23:43

    Je ne suis pas un "expert" en sécurité réseau mais pour éviter les attaques brute force ou DoS (déni d’accès) avez vous pensez à un système de blacklist par hash type UserAgent+IP, ce qui permet de bloquer le hacker directement sans solution de fortune type url d’admin sous forme de hash ?

    D’autre part ce système permet aussi de faire des vérifs de cookie et donc de session (ex : si l’utilisateur a le même cookie de session et le même UserAgent mais pas la même IP alors nouvelle session ou ban par blacklist) ce qui permet d’éviter les intrusions type session/cookie spoofing.

    nvandamme

  • Le 7 janvier 2011 à 13:52

    bonjour

    je viens (il y a 10 minutes)de télécharger et installer thélia sur winamp

    je cherche le mot admin partout dans le fichier facture.php le seul endroit ou je vois cette suite de caractères est la ligne 30

    include("../../classes/Administrateur.class.php") ;

    et l’include facture.php est ligne 61

    include_once("../pdf/modeles/facture.php") ;

    ou est le fichier de configuration de la base de donnée pour la connexion en front office, ne doit-on pas le chmoder ?

    Pour la sécurité : la seule vraie défense est la sauvegarde systèmatique sur des supports différents (tout peut se flinguer au moment d’une sauvegarde)

    Fran

    frannyz

  • Le 1er février 2011 à 14:29

    classes/Cnx.class.php

    Pas besoin de changer les droits non.

    Yoan


Ajouter un commentaire

Ce forum est modéré à priori : votre contribution n'apparaîtra qu'après avoir été validée par un administrateur du site.

Nos
partenaires



Contactez
Thelia


Pour toutes questions concernant Thelia, vous pouvez nous contacter :

contacter Thelia par téléphone par téléphone au 04 44 05 31 00

Contacter Thelia e-maiol par mail à l'adresse info@thelia.net

April Oséo FEDER