Question sur la securisation d'un cms utilisé pour le site d'un lycée

[Heimie]

Bonjour a tous, je viens de refaire un compte tout neuf ici car je me souvenais plus de mon ancien de 2003 lol

Je reviens a vous encore une fois pour avoir une question a un problème qui m'a été posé par un collègue informaticien.

Je viens de creer un site pour le lycée ou je travail avec le cms cimplesimple ( http://www.cmsimple.dk/ ). Cependant mon collègue qui va le mettre en ligne aujourd'hui ma poser une question intéressante :

pour accéder au panneau d'admin il suffit de cliquer sur un lien et de mettre un login & mot de passe et mon collegue ma dit le souci c'est que si on peu taper le mot de passe à l'infini sans etre bloquer au bout de plusieurs fausse tentatives a force des robots pourraient trouver le mot de passe et ainsi pirater le site. Jai regardé sur le site du cms je n'y ai pas trouvé de solution valable concernant la sécurité et je ne peu pas poser la question sur le forum du cms car il faut envoyer un mail a l'admin pour pouvoir s'inscrire (complement naze!!!) donc moi je nai pas trop le temps d'attendre car il faut une reponse pour demain apres midi au plus tard mon collegue part en vacances apres et moi je le suis deja.

J'ai bien pensé a faire un fichier htaccess en plus de la connection admin comme j'avais il y a quelques années sur un site guppy ce qui donnait 2 authentification avant d'acceder au panneau admin mais la jai testé apparement ca marche pas.

Alors auriez vous une solution à me proposer et pourriez vous me redonner un fichier .htaccess type et la procedure ou le mettre... merci beaucoup c'est tres urgent.

Pour tester de chez moi jai mis le site du lycée sur mon hergement free ici si vous voulez vous donner une idée, je vais le supprimer des que j'aurai une solution car je nai pas acces au serveur du lycée de chez moi bien entendu : http://dimmustian.free.fr/lycee/

[Dan]

Bonjour,

Tu trouveras toutes les infos nécessaires concernant la restriction d'accès par mot de passe dans une des publications du HUb :

Le fichier .htaccess

Tu y trouveras même l'outil pour encoder ton mot de passe....

Dan

[Keroin]

Effectivement +1 avec Dan.

Tu créés un .htaccess et un .htpasswd que tu places dans le répertoire d'admin de ton cms.

Bien entendu tu essayes d'avoir un login + mdp différents de ceux d'accès à l'admin du site.

Avec cette double sécurité ton espace admin est mieux vérouillé (attention je n'ais pas dit que c'était inviolable non plus)

[Dadou]

Déjà pour commencer, il serait bon de faire en sorte que le lien de connexion ne soit pas présent : Ce CMS n'est pas très répandu donc il va être plus difficile de trouver comment se connecter, tu rendras donc la tache plus difficile.

Et un peut d'info sur la méthode d'authentification de ton CMS : http://www.cmsimple.dk/?Installer%27s_Manu...WW-Authenticate

Modifié 7 Février 2008 par Dadou

[Heimie]

Je suis bien d'accord mais il faut qu'un lien pour se connecter soit visible car je vais installer apres un plugin multi utilisateurs pour que certains profs puissent se connecter dessus pour changer certains articles, donc si ont leur donne un lien cacher il ya de grande chance qu'ils vont se planter et captent pas et comme le proviseur veut un site clair et simple et facile d'acces pour les profs on peu pas faire trop autrement.

Sinon la jai tester donc le fichier htaccess javais bien la bonne procedure jai verifié par rapport a la doc de ce site, mais apparement enfin quand je test sur mon free je sais pas si ca fera pareil sur le serveur du lycée avec 2 fichier different htaccess un classic et un adapté free qui marchait avec mon guppy d'antan bien ca marche pas. A savoir qu'il y a deja un fichier .htaccess dans le dossier admin (qui s'apelle pas comme ca d'ailleurs) avec les lignes "order deny,allow deny from all". Et quand je vire ce fichier pour mettre le mien non seulement mon htacess ne fonctionne pas mais en plus je ne peu plus me connecter au panneau admin du site l'authentification du site par elle meme ne fonctionne plus. C'etait juste pour info, je vais essayer de tester ca avec mon collegue pour voir si ca marche sur le serveur du lycée.

Modifié 8 Février 2008 par Heimie

[Dadou]

donc si ont leur donne un lien cacher il ya de grande chance qu'ils vont se planter et captent pas et comme le proviseur veut un site clair et simple et facile d'acces pour les profs on peu pas faire trop autrement.

je ne suis pas d'accord, les profs ont quand même un minimum d'intelligence, ils sont apte à comprendre le principe et à s'en servir correctement

[captain_torche]

Sinon, en ce qui concerne le piratage du mot de passe par "force brute", comme tu le décris, la meilleure façon de se protéger reste d'utiliser un mot de passe complexe : plus de 8 caractères, alternance de chiffres et de lettres, de minuscules et de majuscules, etc.

D'ici à ce que le mot de passe soit trouvé, tu as une énorme marge.

[Heimie]

Certes c'est sur je n'ai jamais dit que les profs étaient betes lol mais nous on suit les consignes du proviseur. Apres je pourrais toujours soumettre l'idée pour une prochaine modification mais je ne pense pas que cela soit accepté, il voulait que ça soit visible.

Concernant le mot de passe je suis d'accord, c'est ce que j'utilise pour mes mots de passe sécurisé 8 caracteres avec lettres *$ chiffres. J'en ai deja parlé a mon collegue mais il faudra le convaincre car il avait pas l'air emballé par cette idée qui est pourtant indispensable pour la securisation de tout mot de passe important.

Je vous remercie au passage pour toutes vos réponses.

Modifié 8 Février 2008 par Heimie

[suede]

Bonjour

Il y a un add-on qui peut t'intéresser dans http://www.cmsimple.dk/?Addons_and_plugins

http://xtc.xhonneux.com/?Projekte:GXSecurity:Fran%E7ais

badattempts nombre de mauvaises tentatives avant de bannir l'IP dans le fichier .htaccess ou d'avertir que des accès trop rapides ont eu lieu

[Dadou]

Mauvaise idée, dans le cas présent, il est fort à parier que l'ip du lycée se retrouve bannis car tous les ordis du lycée auront la même (CDI, salle des profs, ...)

[Heimie]

finalement on a trouver solution avec mon collegue on met une version non accessible au panneau admin en ligne te on mettrai une version accesible via le reseau interne comme ca plus de pb de securité. Merci beaucoup pour vos conseils.