août 5

jHackGuard

Anti injections SQL, inclusions url, attaque XCC

Ce plugin a été utilisé avec succès par des clients SiteGround au cours des dernières années

Pour le rendre valid W3C:

Editer plugins/system/jhackguard.php, ligne 74, virer les balises CENTER

Logging options

  • Fichier journal – Ici vous pouvez entrer le nom du fichier où les billes sur les activités plugin sera conservé. Log file – Here you can enter the file name where the logs about the plugin activities will be kept. Le nom de fichier par défaut est jHackGuard-log.php. The default file name is jHackGuard-log.php. Il est stocké dans le cadre du dossier logs. It is stored under the logs folder.
  • Activer la journalisation – Vous pouvez décider si les activités plugin sera connecté Enable Logging – You can decide whether the plugin activities will be logged
  • Les flux de données Data Streams
  • Filtrer $ _POST – Filtres variables provenant de la méthode POST HTTP. Filter $_POST – Filters variables coming from the HTTP POST method.
  • Filtrer $ _GET – Filtres variables passées au script par le biais de paramètres d’URL. Filter $_GET – Filters variables passed to the script through URL parameters.
  • Filtrer $ _COOKIE – Filtres variables provenant de cookies HTTP. Filter $_COOKIE – Filters variables coming from HTTP Cookies.

Filtrage des paramètres Filtering parameters

  • eval Filter () – Filtres le résultat de l’évaluation d’une chaîne comme un script PHP. Filter eval() – Filters the result of the evaluation of a string as PHP code.
  • Filtrer base64_decode – Filtres le résultat de la base64 de décodage de données codées. Filter base64_decode – Filters the result of the base64 encoded data decoding.
  • Filtrer les commandes SQL – Filtres l’exécution de commandes SQL. Filter SQL commands – Filters the execution of SQL commands. Cette solution empêche les attaques par injection SQL. This solution prevents SQL injection attacks.

Paramètres avancés Advanced Parameters

  • Allow_url_fopen – Désactive l’option de récupérer des fichiers sur serveur FTP ou Web. Allow_url_fopen – Disables the option to retrieve files from remote FTP or Web server. Cette solution protège votre site web contre les injections de code. This solution protects your web site against code injections.
  • Allow_url_include – Désactive la possibilité d’inclure des URL dans les demandes de PHP. Allow_url_include – Disables the option to include URLs in PHP requests. De cette façon, votre site web seront protégés contre les attaques à distance l’inclusion URL. In this way your web site will be protected against Remote URL Inclusion attacks.
juillet 26

Xmap

Plan du site (sitemap.xml)

ne pas inclure le titre des liens

les paramètres de la liste sont modifiable (http://www.w3schools.com/css/css_list.asp)

Installer le plugin (via Xmap et l’activer via les plugins Joomla) qui rajoute un bouton dans l’éditeur permettant de lié un mot vers un des liens des menus

pour insére un liens qui n’est pas dans un menu:

Créer un menu nommé « divers » ou « caché », ajouter le lien

ajouter le menu dans Xmap

Configurer l’adresse du fichier XML dans Google:

https://www.google.com/webmasters/tools/sitemaps/

juillet 26

MavikThumbails

Création automatique de miniatures d’images, effet de lightbox

bien installer le plugin et le patch pour jommla 1.5

dans plugins, changer répértoires des miniatures
placer les images (précédent, suivant, fermer) dans le dossier:
plugins/content/mavik/slimbox/css
modifier le CSS avec nom et tailles des nouvelles images

Pour modifier le CSS des miniatures:

plugins/mavikthumbails/style.php

a.with-zoomin-img

Pour séparer par un trait le texte du bas de la photo:

#lbCenter, #lbBottomContainer

padding-top: 5px;
border-top: solid thin #06c;

modifier le JS (ligne 16) = showCounter: false (pour ne pas afficher « 2 of 5 »)
plugins/content/mavik/slimbox/js

juillet 26

Qcontact

formulaire de contact avec captcha modulable, réponse à l’envoie, ajout de champs…

insérer dans le CSS du site:
.qcontacts_email #captcha_code {/*entourer le champ captcha*/
border: solid 4px #0066CC;
}
.qcontacts_email .required {/*enlever le rouge des champs requies*/
color: #000 !important;
}

#qcontacts .marker {/*pour souligner et espacer les textes devant les infos*/
text-decoration: underline;
font-weight: bold;
width: 20%;

Pour modifier le message de réponse:
éditer dans language/fr/com_qcontacts.ini

CONFIRMATION_TITLE=Thank you!
CONFIRMATION_MESSAGE=Your message has been sent. Thanks for contacting us.
GO BACK=Go Back

juillet 26

Jsecure

sécurisation du chemin du dossier administrator

installer le plug, indiquer dans « key » un mot/chiffre

qui modifiera l’url de l’admin « ? » à rajouter dans le lien:

adresse_du_site/administrator/?lou42lou

diriger vers l’URL: plugins/system/404.html

juillet 26

Sentinelle

(Ce Plugin intercepte toutes les tentatives d’intrusion par scripts et d’injection via URL)

ou encore pour tous les formulaires du front office. L’utilitaire capture et bannie l’adresse IP de l’hôte à l’origine de l’agression

* Défense par blocage :  tout intrus est renvoyé sur une page d’avertissement  « STOP hacking »
* Alerte : notification d’alerte détaillée (adresse IP + code)  envoyée automatiquement par mail à l’administrateur
* Sécurité : enregistre l’adresse IP de l’intrus dans la base de données Joomla! (si option de blocage activée)
* Historique : consignation des différentes intrusions dans un fichier log
* Préventif : consultation de la liste des adresses IP bannies à l’ouverture de chaque nouvelle session
* Blocage : refuse l’accès au site si une nouvelle session utilise une adresse IP bannie

URL d’origine: plugins/system/sentinelle/index.html
diriger vers l’URL: plugins/system/404.html

Débloquer une IP bannie
Connectez vous à PhpMyAdmin, afficher la table
jos_plugins
Parcourir la table pour en trouver la ligne attribuée à l’ID sentinelle,
vous trouverez les Valeurs attribuées dans le champ params correspondant à vos réglages et liste des IP bannis.

Respecter la disposition de vos paramètres et mise en forme des valeurs ( pas de saut de ligne dans aucun de vos paramètres) :

active_mail=1
admin_mail=votremail@compte.domaine
ban_redirect=1
custom_path=plugins/system/sentinelle/index.html
ip_list=255.0.0.1
pro_fe_AU=0
pro_fe_ED=0
pro_fe_PU=0
pro_be_AD=0
pro_be_MA=0

Que cela soit par la base de données ou par votre administration attention à toujours utiliser un ; (point-virgule) entre chaque IP et laisser le début et la fin de ligne sans ; (IP;IP;IP;IP) donc retirez du paramètre ip_list=255.0.0.1;votreip puis cliquez sur [executer] (point-virgule inclus) pour ne laisser que ip_list=255.0.0.1

juillet 26

JCE Editor

(éditeur amélioré)

dans config/formatage:
style fenetre = personnel
CSS du template = non

groupes/defaut/parametres editeur:

largeur, indiquer la largeur du contenu des pages + 25px+marge dans contenu (si présent)

chemin des images, images

autoriser CSS, PHP, JAVA

couleurs personnalisées, les couleurs du site

dans groupe/defaut/parametre editeur:
indiquer le chemin des images
autoriser PHP CSS XHTML

dans groupe/defaut/parametre des plugins:
coller spécial = autoriser

Pour la validation CSS:

plugins/system/jceutilities/css/

remplacer « overflow-y » par

#jcepopup-ajax {
overflow: auto;

configurer l’éditeur JCE

Configuration, si CSS du template = NON et CSS perso = chemin du CSS (dans le dossier CSS du template) spécialement dédié à l’éditeur.
Ne tient compte que des classes sans balise ajoutée

Paramètres éditeurs/options éditeurs:
format  « bloc de texte » = indiquer les éléments utilisables dans l’éditeurs

installé plug_jce_utilities
pour avoir les popups activés
class: jcepopup ou jcetooltip (infos bulle de la descrption)