Sécuriser l'interface d'administration de dotclear
Voici une petite astuce trouvée sur le blog officiel de dotclear, qui consiste à changer le nom du dossier d'administration afin de se prémunir d'éventuelles attaques.
Pour se faire, il suffit simplement de renommer le dossier écrire :
cd dotclear
mv ecrire private
Puis d'éditer le fichier inc/prepend.php afin de modifier la valeur du DC_ECRIRE :
define('DC_ECRIRE','private');
Pour vous rendre sur votre interface d'administration, on utilisera alors l'url :
http://monblog.fr/private
A noter que pour la version 2 de dotclear, il suffit juste de renommer le dossier admin avec le nom de son choix.
6 Commentaires pour "Sécuriser l'interface d'administration de dotclear"
Flux des commentaires de cet article Ajouter un commentaireblog.sckyzo.com/2007/07/1...
Edit du 10/07/2007(18H20): Les responsables du projet DotClear ont émis un article dans lequel ils affirment que le fait de renommer des répertoires met les utilisateurs à l'abri de probables attaques. Sachez que cette allégation est absolument fausse. Le mieux reste, par conséquent, de s'en tenir à la recommandation faite ci-dessus.
Je pense que renommer son dossier d'administration est quand même un plus et qu'il ne faut donc pas négliger cette action.
Qui ne sert strictement à rien si la personne malveillante trouve ton répertoire d'admin.
L'intérêt d'avoir un logiciel qui est bien codé, c'est de pas avoir ce genre de faille ultra merdiques.
Quand tu change le nom du répertoire, les failles sont toujours là !
@Vanzetti : essaye de trouver le nom de mon répertoire d'admin .. cela sera un bon teste sur l'efficacité de cette solution.
Normalement j'ai bien fait attention, j'ai même recodé certains plugins afin de ne pas dévoiler le nom du dossier.
Sinon les failles de sécurités ont toujours éxistées et existeront toujours, que ce soit sous linux ou windows ou autre.
L'important est la réactivité, c'est à dire on découvre un faille, on la corrige aussitôt.
Euh un .htaccess ou les directives adéquates dans la config du virtual host.
Qui imposent un login pour tout ce qui est admin est je crois une excellente base d'une sécurité en multipasse.
M'enfin c'est ce que je préconise et utilise.
@Plume d'indien : oui cette solution peut-être efficace, mais oblige à fournir deux fois le mot de passe dans le cas de Dotclear.