Pour ce premier billet, je vais vous parler d'un incontournable pour qui se soucie un minimum de la sécurité de ses sites : aeSecure, développé par Christophe Avonture, déjà responsable de l'excellent AllEvents qui équipe certains des sites de netpresence.fr.

aeSecure

Préambule

Comme beaucoup, j'ai commencé l'aventure du web par la création de petits sites statiques, d'abord en HTML, puis en HTML et CSS. Puis, au fur et à mesure de la sophistication des outils, on finit par gouter aux joies des sites dynamiques, bien plus faciles à administrer et à mettre à jour (contenant comme contenu). C'est à ce moment là que son site devient un véritable outil, simple à utiliser, pour la diffusion de son contenu, au détriment de la "machinerie" qui le propulse.

Mais c'est aussi à ce moment là que les choses se gâtent : son site statique, presque invincible, devient dynamique, donc administrable en ligne (c'est le but) depuis un simple navigateur de son ordinateur ... mais aussi celui des autres si on ne prend pas quelques précautions.

Vous allez me répondre : pas de souci, il faut déjà connaitre mon identifiant et mon mot de passe pour faire quoi que ce soit ! Oui ... jusqu'au jour où son site est défacé (page d'accueil piratée et remplacée par un message "politique" par exemple : là, c'est visible et c'est ce qui m'est arrivé au tout début de mon aventure Joomla!, il y a bien longtemps, avec une version 1.5) ou transporte avec lui du code malicieux (c'est volontairement moins visible mais potentiellement plus dangereux).

En général, ce genre "d'exploit" est rendu possible de différentes manières :

  • l'utilisation pure et simple de ses identifiants et mots de passe, du site mais plus souvent de l'hébergement (donc par FTP), suite à une vilaine bestiole sur son ordinateur qui aura récupéré ces informations à notre insu
  • l'exploitation de failles dans le gestionnaire de son site ou, plus fréquemment, dans l'une des extensions ajoutées (ce qui avait été mon cas)

Là, point de solutions miraculeuses, juste les bonnes vieilles recettes : antivirus, pas de logiciels "douteux", logiciels à jour, moteur de site et toutes les extensions à jour, ...

Dans le doute, on peut toujours consulter la liste des extensions vulnérables.

 

De la préhistoire à aujourd'hui Sentinelle à aeSecure

Après avoir vécu pareille mésaventure et corrigé tout ce qui devait l'être sur son site, une question finit par émerger : Comment éviter, ou du moins limiter, l'attaque ou les dégâts sur son site ?

A l'époque, je m'étais empressé d'installer une solution efficace du nom de Sentinelle, qui bloquait les attaques par URL, une extension aujourd'hui obsolète et plus maintenue. Puis sont arrivées les versions 2.5 et 3.X de Joomla, certes plus sécurisées, mais avec la désagréable impression qu'on pouvait faire encore mieux en matière de sécurité. Après tout, on pouvait améliorer la 1.5, et le .htaccess des versions suivantes n'est guère plus étoffé.

Certes, des solutions sont apparues, plus ou moins conviviales ou simples à mettre en oeuvre, comme CrawlProtect ou Admin Tools, mais aucune n'est aussi agréable à utiliser qu'aeSecure. On trouvait bien, ça et là, des astuces, des bouts de code à ajouter dans son .htaccess, etc. mais tout le talent d'aeSecure est de le faire pour nous, plus simplement.

 

Bon finalement, aeSecure, c'est quoi ?

Le plus simple est de reprendre la formulation de son développeur :

aeSecure est un logiciel php qui offre une couche de protection supplémentaire de votre site web dès lors qu'il fonctionne sous serveur Apache et ce, quelque soit le type de sites web (Joomla!®, Drupal, WordPress, ... voire un site statique ou un logiciel propriétaire)

 

Dashboard aeSecure

 

Et oui, aeSecure fonctionne avec n'importe quel site, statique comme dynamique, avec n'importe quel CMS, et pas seulement Joomla! même si certaines fonctions lui sont spécifiques. Bref, il protège tout :-)

Il fait d'ailleurs plus que la simple protection, je vous laisse le découvrir sur la page dédiée.

ATTENTION : aeSecure ne dispense pas de maintenir à jour son site, il empêche, entre autres, des attaques URL, mais n'empêchera pas d'exploiter une faille qu'on aura laissé présente ou l'intrusion dans son hébergement si son ordinateur est vérolé. Par contre, même dans ces derniers cas, il peut limiter les dégâts.

 

Et on le trouve où cet aeSecure ?

On commence par aller chercher l'une des versions sur le site de l'auteur. Il en existe trois principales :

  • une version GRATUITE : idéale pour découvrir l'outil, déjà bien protectrice, les options accessibles à la version suivante (premium) sont signalées par une étoile
  • une version PREMIUM : on accède là à la toute dernière version avec plus de fonctionnalités et des outils complémentaires d'optimisation. Elle se décline en options supplémentaires d'assistance pour ceux qui en éprouvent le besoin :
    • une version PREMIUM+ : identique à la premium, avec le support privé en plus
    • une version INSTALLATION+ : identique à la premium+, avec l'installation et le paramétrage sur votre serveur par le développeur

 

Outils aeSecure

 

  • une version PRO : elle propose en plus une interface de gestion multi-sites

 

Dashboard aeSecure Pro

 

Pour les avoir essayées, la GRATUITE est bien pour vérifier qu'elle passe sans problème sur son serveur mais la PREMIUM apporte des outils bien sympathiques supplémentaires qu'on aurait tord de ne pas utiliser. De plus elle permet de rétribuer très justement son auteur qui a passé de longs mois à peaufiner cet outil et qui ne cesse de s'améliorer. Donc si on veut que le développement perdure et s'intensifie, ...

Je ne vais pas détailler ici toutes les différences entre ces deux versions, je vous laisse le découvrir sur ce comparatif des versions d'aeSecure.

La PRO quant à elle, devient indispensable pour ceux qui ont beaucoup de sites à gérer. C'est un véritable tableau de bord de tous ses sites, très simple à installer comme les autres versions, qui permet en un coup d'oeil de vérifier les versions installée d'aeSecure, de PHP, du CMS, ainsi que les protections aeSecure mises en oeuvre, et enfin les paramètres du serveur. Et cerise sur le gâteau : des raccourcis permettent au choix de se rendre directement sur la page aeSecure, la page d'administration (backend) ou la page d'accueil (frontend) de chacun de ses sites, et ça c'est appréciable (bien plus facile à gérer que des raccourcis dans son navigateur). Selon son auteur, cette version PRO va également évoluer, pour permettre la modification de fichiers directement depuis l'interface multi-sites.

 

Et on l'installe comment ?

Comme on l'a vu plus haut, aeSecure est "universel", il fonctionne avec tout type de sites à partir du moment où le serveur tourne sous Apache. Ce n'est donc pas une extension Joomla! qui s'installe comme toutes les autres extensions.

Le lien de téléchargement vous permet de récupérer un simple fichier nommé aesecure.php qu'il faut transférer à la racine de son site. On l'appelle ensuite en saisissant son-nom-de-domaine/aesecure.php

Le script s'occupe du reste, télécharge et installe les autres fichiers, etc. Au pire, il faudra peut-être récupérer et transférer un fichier supplémentaire nommé aesecure.zip par le lien donné à l'écran et recommencer, comme cela a été le cas sur mon serveur.

ATTENTION : Une fois l'installation terminée, il ne faut pas oublier, comme indiqué, de conserver le lien pour pouvoir accéder à l'administration de son aeSecure ultérieurement.

 

Et après, on fait quoi ?

Une fois aeSecure installé, il ne protège rien et ne modifie rien (si ce n'est les fichiers qu'il a installé pour son fonctionnement).

Et c'est là tout l'avantage d'aeSecure sur ses "concurrents" : en plus d'être efficace, il se permet d'être simple, abordable et hautement pédagogique.

Il est découpé en 9 domaines, eux-même divisés en items de base, avec chacun son titre explicite, une introduction, une explication détaillée, parfois la possibilité de tester, et bien sûr la finalité : éditer un fichier ou protéger son site contre une menace.

Tout est bien expliqué. Un petit ruban permet de savoir si c'est indispensable, nécessaire sans être obligatoire, intéressant dans certains cas ou extreme pour une protection optimale mais avec des contraintes. On ne va pas non plus ici faire le tour de l'interface, autant la découvrir directement sur la découverte de l'interface du site du développeur, c'est bien mieux détaillé.

 

En conclusion

Vous l'aurez compris, si votre ordinateur et votre serveur avec son ou ses sites échapperont à des attaques grâce à des mises à jour régulières et consciencieuses, aeSecure vous apportera une protection et une optimisation supplémentaires, sans être réservé à des spécialistes. Il devient même indispensable face aux menaces d'aujourd'hui, et rend rapidement et facilement un fier service. De plus il est régulièrement mis à jour pour toujours apporter plus de performance, de convivialité, et de fonctionnalité.

Bref, pourquoi s'en priver ?

Création de site internet

Hébergement web

Gestion de noms de domaine

Adresses courriels personnalisées

Réseaux sociaux

Facebook     Google Plus     Twitter