sécurité Admin

[jd440]

Pensez vous que le systeme natif de protection de l'admin par un login/password, est aussi robsute qu'un htpasswd?

[DevNet]

Salut,

 

Non bien sur qu'un htpasswd est toujours plus sécurisé. D'ailleurs je le conseil vivement sur tous les dossiers qui n'ont pas d'accès publics depuis le navigateur, mais pas seulement sur PrestaShop. Il s'agit d'une sécurité qui concerne tous les systèmes de gestion CMS.

 

De plus avec les navigateurs d'aujourd'hui, il est très simple de garder en mémoire l'htpasswd afin de ne pas le saisir tous le temps.

 

A+

[Dev On Web]

Bonjour,

 

Du moment que le mot de passe est solide et que le process de connexion est sécurisé contre le brute-force, je ne vois pas pourquoi il serait moins efficace au final. A moins bien sur que le CMS en question contienne des failles applicatives...

[DevNet]

Bonjour,

 

Du moment que le mot de passe est solide et que le process de connexion est sécurisé contre le brute-force, je ne vois pas pourquoi il serait moins efficace au final. A moins bien sur que le CMS en question contienne des failles applicatives...

 

Pour moi tout CMS Open-Sources est une proie vulnérable ou non, pénétrable ou non, mais dans tous les cas un système aux sources ouvertes à tous.

 

Si PrestaShop contenait des failles au niveau de la connexion, on serait déjà au courant aujourd'hui.

Néanmoins, on ne connais ni l'avenir, ni les intentions du commerçant et de ses possibilités en matière de personnalisation.

Il lui suffit d'un module mal codé pour foutre en l'air tout l'hébergement web (et de ce fait, toute la boutique).

 

Pour jd440, si un htpasswd n'est pas gênant, alors profite de cette sécurité en plus.

 

A+

[jd440]

c'est ce que je pensais aussi.

D'où ma question.

[coeos.pro]

en fait les problèmes de sécurité que l'on a pu constater concerne :

1- filezilla, un virus peux facilement récupérer les données de connexion FTP et les envoyer à quelqu'un de malveillant, c'est le cas le plus fréquent et de loin

2- les gens qui laissent traîner les identifiants n'importe ou, il y en a même un qui les a laissé visible sur son compte Facebook une fois...

3- les gens qui postent sur des forums en laissant visible l'url de l'admin avec le token...

 

Sinon je n'ai jamais vu de gens se faire attaquer par force brute ou autre la partie admin, donc à priori c'est assez sécurisé comme ça

[caeruleus]

La protection de l'admin dans Prestashop devrais suffire dans la majorité des cas, mais pour les paranos des sécurités supplémentaires sont possibles.

 

1/ Rajouter un captcha sur la page d'accueil de l'admin.

2/ Rajouter un .htaccess + .htpasswd (avec mot de passe codé et non en clair dans le htpasswd).

3/ Protéger également par .htaccess et .htpasswd le dossier des stats de l'hebergeur qui mentionne l'URL de l'interface Admin.

4/ Mettre l'admin sur un serveur SSL si l'hébergement le permet.

5/ Modifier de temps en temps le nom du dossier admin ainsi que l'ensemble des mots de passe.

6/ Et pour finir prendre un Lexomil tous les soirs, ça permet d'éviter le stress lol.

[Oron]

Bonjour

 

Nommer vos dossiers admin autrement que style backadmin ou myadmin ou adminceleste, évitez d'avoir le mot admin.

 

Exemple vous pouvez le nommer siffleleventdes8jours ou pouchapouchapicha etc.. inventer des mots

et vérifiez qu'il n'existe pas