Optimisation et sécurisation avec aeSecure

JUG Toulouse – Lundi 10 avril 2017

Version électronique

Cette présentation est d’ores et déjà disponible à l’adresse suivante :

https://marknotes.fr/

Aller dans CMS/Joomla/JUGToulouse

Objectifs

  1. Qu’est-ce qu’aeSecure ?
  2. Installer le logiciel
  3. Démo
  4. Quelques liens
  5. Questions

1. Qu’est-ce qu’aeSecure ?

Qu’est-ce qu’aeSecure ? (2 min)

C’est un Web application firewall (WAF) doté de fonctions d’optimisation

Il s’agit d’un pare-feu logiciel càd un script qui va voir les URLs accédées avant même que Joomla ne reçoive la demande.

Ce pare-feu agit donc comme un videur à l’entrée d’une discothèque. Son job est de bloquer les accès qui semblent anormaux comme les tentatives d’attaques ou d’accès à des fichiers qui ne devraient pas l’être.

Mais pas seulement à l’entrée

En effet, aeSecure va aussi bloquer la sortie pour les mêmes raisons : suspicion d’activités anormales.

Exemple : des scripts .php qui seraient déjà sur le site, dans le dossier /images.

aeSecure est un pare-feu logiciel

Le CMS est protégé

Que ce soit un CMS (, , , , , , ...) ou une application propriétaire, ce qui se trouve “derrière” est donc protégé et ne voit arriver que les requêtes saines.

Pour Joomla!®, cela signifie entre autre que

Protection par .htaccess

aeSecure fonctionne en plaçant des fichiers .htaccess à différents endroits de votre site; à la racine du site mais aussi dans des dossiers précis comme p.ex. /images.

Ces fichiers sont les fameux videurs : ils bloquent ce qui ne semble pas légitime tant à l’arrivée sur le site qu’en sortie si, p.ex., des scripts intrus sont déjà présent. Le blocage est en code 403 – Access denied.

Error 403

Protection par .htpasswd & liste blanche

aeSecure permet aussi de placer des protections additionnelles sur des dossiers : vous pouvez restreindre l’accès à votre dossier /administrator (et bien sûr /aesecure) aux seules personnes dont l’adresse IP est p.ex. 125.25.24.56 ou après avoir introduit un login/mot de passe supplémentaire.

Quels blocages (entre autre) ?

Quelles optimisations ?

Certaines fonctionnalités visent à accroître la vitesse d’affichage de votre site :

Interface simple et pédagogique

Par souci de simplicité, l’interface d’aeSecure est composée d’un seul écran de configuration où l’on va activer, selon ses besoins, telles ou telles fonctionnalités.

Pour chacune d’entre elle, il y a une explication rapide, une explication plus détaillée et, enfin, une explication longue (lien vers le site aesecure.com).

L’activation se fait en général grâce à un simple interupteur.

2. Installation d’aeSecure

https://www.aesecure.com/fr

Prérequis : minimum php 5.3 et un serveur web Apache

Coupon

Version gratuite totalement fonctionnelle.

–20% sur les versions Premium / Premium+ / Pro ainsi que sur le nettoyage de sites

Code JUG_Toulouse

Jusqu’à fin avril

Page de téléchargement d’aeSecure

Page de téléchargement d'aeSecure

Récupération du script aesecure

Récupération du script

Envoi du fichier aesecure.php à la racine de son site web

Envoi du fichier aesecure.php à la racine de son site web

Utilisation d’un client FTP si le site est distant ou simplement copie du fichier aesecure.php à la racine de son site localhost.

Exécution du script

Installation

Une fois copié, il suffit de lancer le script via l’URL : https://votresite/aesecure.php

Confirmation

Interface

Une fois l’installation terminée, votre interface d’aeSecure est à l’adresse https://votresite/aesecure/setup.php?TRES-LONGUE-CLEF

La clef ressemble à quelque chose comme ceci : BMXCq-z4JHw-yu80T-1YR2U-Updsdb-w7Auw.

Must, Good, Extreme ou Need ?

Chaque fonctionnalité dispose d’un ruban permettant de savoir si vous devriez l’activer.

Ruban Explication
Must Impératif
Good Préconisée, non obligatoire
Extreme Forte sécurisation mais peut-être bloquant
Need Selon votre besoin

Liste des fonctionnalités

La documentation, en ligne, de toutes les fonctionnalités d’aeSecure est disponible à l’adresse suivante : https://www.aesecure.com/fr/documentation/fonctionnalites.html

Activations recommandées

3. Démo

Une démo est accessible en ligne, rien à installer sur votre machine...

Site de démo

4. Quelques liens

Module d’administration pour Joomla!

Module d'administration Joomla!

Vous trouverez sur la JED un module d’administration pour Joomla qui permet d’ajouter un lien direct, depuis votre écran d’administration Joomla, vers l’interface d’aeSecure.

aeSecure’s QuickIcon Administration

Vidéos

5. Questions

Christophe Tise

Je l’ai testé, j’avoue ne pas avoir tout compris, mais je n’ai pas creusé outre mesure. Je me demande surtout que lest son fonctionnement : y’a t’il une surveillance permanente ? Ou est ce seulement un scan ? Les fichiers installés le sont ils du coup en permanence ? Bref, je l’ai trouvé un peu obscur, donc je veux bien des éclairages.