Sécuriser l'interface d'administration de dotclear

Par Sébastien Bilbeau, publié le 10 juillet 2007


Bouclier
Voici une petite astuce trouvée sur le blog officiel de dotclear, qui consiste à changer le nom du dossier d'administration afin de se prémunir d'éventuelles attaques.

Pour se faire, il suffit simplement de renommer le dossier écrire :

cd dotclear
mv ecrire private

Puis d'éditer le fichier inc/prepend.php afin de modifier la valeur du DC_ECRIRE : 

define('DC_ECRIRE','private');

Pour vous rendre sur votre interface d'administration, on utilisera alors l'url :

http://monblog.fr/private

A noter que pour la version 2 de dotclear, il suffit juste de renommer le dossier admin avec le nom de son choix.

Autres articles du même sujet


6 Commentaires pour "Sécuriser l'interface d'administration de dotclear"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    blog.sckyzo.com/2007/07/1...

    Edit du 10/07/2007(18H20): Les responsables du projet DotClear ont émis un article dans lequel ils affirment que le fait de renommer des répertoires met les utilisateurs à l'abri de probables attaques. Sachez que cette allégation est absolument fausse. Le mieux reste, par conséquent, de s'en tenir à la recommandation faite ci-dessus.

    RépondreRépondre
    SckyzO , le 11 juillet 2007 à 13:47
  •  

    Je pense que renommer son dossier d'administration est quand même un plus et qu'il ne faut donc pas négliger cette action.

    RépondreRépondre
    pti-seb , le 11 juillet 2007 à 15:16
  •  

    Qui ne sert strictement à rien si la personne malveillante trouve ton répertoire d'admin.
    L'intérêt d'avoir un logiciel qui est bien codé, c'est de pas avoir ce genre de faille ultra merdiques.

    Quand tu change le nom du répertoire, les failles sont toujours là !

    RépondreRépondre
    Vanzetti , le 11 juillet 2007 à 15:55
  •  

    @Vanzetti : essaye de trouver le nom de mon répertoire d'admin .. cela sera un bon teste sur l'efficacité de cette solution.

    Normalement j'ai bien fait attention, j'ai même recodé certains plugins afin de ne pas dévoiler le nom du dossier.

    Sinon les failles de sécurités ont toujours éxistées et existeront toujours, que ce soit sous linux ou windows ou autre.

    L'important est la réactivité, c'est à dire on découvre un faille, on la corrige aussitôt.

    RépondreRépondre
    pti-seb , le 11 juillet 2007 à 16:17
  •  

    Euh un .htaccess ou les directives adéquates dans la config du virtual host.
    Qui imposent un login pour tout ce qui est admin est je crois une excellente base d'une sécurité en multipasse.

    M'enfin c'est ce que je préconise et utilise.

    RépondreRépondre
    plume d'indien , le 7 août 2007 à 14:43
  •  

    @Plume d'indien : oui cette solution peut-être efficace, mais oblige à fournir deux fois le mot de passe dans le cas de Dotclear.

    RépondreRépondre
    pti-seb , le 7 août 2007 à 15:09
 

Ajouter un commentaire

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité redhat red hat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum