title: 'Interdire l’'accès à un dossier’ created_time: '2018–05–05 18:43:30' language: fr subtitle: ''

Interdire l’accès à un dossier

Christophe Avonture (@cavo789)

J’en veux un :heart:

image

Pourquoi :passport_control:

Cette protection, dite htpasswd, est mise en place au niveau du serveur Apache/nginx; elle est plus forte qu’une protection logicielle car on ne sait pas la “brute-forcer”. :space_invader:

Pour l’affichage du formulaire de connexion, aucun code PHP n’est requis : votre site Joomla n’est pas même accédé, votre log des intrusions est préservé, vous n’aurez pas mille alertes “Quelqu’un essaie de s’introduire...”

Uniquement pour le dossier administrator

Non, pas du tout !

Une protection htpasswd peut être ajoutée sur n’importe quel dossier de votre site et va automatiquement restreindre l’accès aux seules personnes disposant du prévieux sésame :key:.

Par exemple

Création :pencil2:

  1. Il faut ajouter dans le dossier à protéger un fichier .htaccess
  2. Il faut y inclure les lignes que vous verrez sur la diapositive suivante
  3. Il faut générer un fichier nommé .htpasswd avec un ou plusieurs couples login/password

Fichier .htaccess

AuthUserFile .htpasswd
AuthName "Vous devez montrer patte blanche"
AuthType Basic
require valid-user

Fichier .htpasswd

Exemple :

Christophe:$apr1$2xK9t8ST$PX8xXmyHpvCXnd7T/ZVq4.

Générateur en ligne : http://aspirine.org/htpasswd.html

Remarques :notebook_with_decorative_cover:

Mieux qu’un ?clef_secrete

Certains plugins Joomla permettent d’obliger l’utilisation d’une clef secrète type https://monsite/administrator/index.php?MaSuperClefSecrete.

:see_no_evil: :hear_no_evil: :speak_no_evil:

Il faut installer un tel plugin et Joomla est donc accédé, c’est donc “trop tard”. Et puis, ces plugins ne fonctionnent que pour /administrator.

Mise en place

Il existe des outils pour mettre en place ce type de protection. Les logiciels type pare-feu (AdminTools, aeSecure, ...) proposent cela dans leur version gratuite.

Remplissage automatique

Des outils comme p.ex. LastPass (coffre fort où l’on stocke ses mots de passe) peuvent automatiquement compléter ces écrans de connexions : la protection est donc forte et peu intrusive.