Protection des dossiers magento sur serveur
octobre 21, 2009 14 CommentairesPensez à protéger vos dossiers magento sur votre serveur. Une multitude de nouveaux sites sont présentés sans protection sur les forums magento. Ce qui peut être préjudiciable pour la sécurité et pour votre image. Ce n’est pas très agréable de tomber sur un répertoire « listable ». Dans ce tutoriel, nous allons voir comment protéger correctement les dossiers magento. J’ai installé une démo de magento sur un serveur RPs1 ovh pour vous montrer un exemple.
Prenons l’exemple du dossier skin de magento par défaut. Les droits de ce dossier sont 777. Ce dossier est donc listable.
En tapant l’url du site plus /skin on tombe sur cette page, on peut y voir clairement l’arborescence des dossiers et y naviguer facilement pour voir les css utiliser les js, les images.
le dossier skin n'est pas protégé
Protéger vos dossiers sur le serveur :
- Changez les droits du dossier sous linux mettre le dossier skin en 755.
- Grâce au fichier .htaccess vous pouvez modifier les droits d’accès aux fichiers.
- Vous pouvez également ajouter un fichier index.php vierge ou avec un message dossier inaccessible et un lien vers la page d’accueil.
- Vous pouvez également faire une redirection 301 vers la page d’accueil.
dossier skin protégé
Options -Indexes
bjr,
doit on proteger d’autre répertoires.
Bonsoir oui il faut protéger le dossier media aussi
site-magento.com/media/
si tu mets /skin en 744, tu plantes le site !
salut Lemax
Oui bien vue j’ai écrit trop vite c’est 755, je change
merci
Bien vu le post
j’avais pas vu que ses dossiers étaient accessibles en tapant simplement le nom du dossier
magento est tellement bien fait qu’on a tendance à croire qu’il est conçu comme il faut
Merci pour le conseil
Blacky
@Blacknight
je suis tombé dessus par hasard en navigant via la barre adresse de firefox. c’est vrai que c’est un peu surprenant magento nous a habitué à mieux
Je confirme que ces opérations sont cruciales et fondamentales.
A mon avis, le point n°2 « Options -Indexes » est vraiment la première chose à faire. Rien à voir avec les droits OS des fichiers, c’est juste pour interdire à Apache le listing de ses répertoires. Il n’est pas forcément utile de jouer avec les chmod.
C’est en effet étonnant que cette directive Apache ne figure pas dans le .htaccess par défaut.
Bonjour Irwan
Oui c’est étonnant qu’aucune protection ne soit prévue d’origine, plein de sites partent en production avec cette faille. Je mettrai que la protection apache alors si elle suffit.
Etrange cette erreur de magento. Toujours actif sur magento 1.34
je vais protéger mes dossiers merci
Merci je vais protéger mes dossiers
merci, j’avoue que c’est très important. Je vais suivre votre conseil.
Quel est la ligne de code exacte à mettre dans le .htaccess??
Bonjour,
Le code est : Options – Indexes
Bonjour,
Ce sujet est intéressant compte tenu de la possibilité de naviguer dans l’arborescence avec un simple navigateur web.
Ma question est la suivante :
– Je souhaite protéger mon site contre cette possibilité de naviguer dans l’arborescence complète. Dois-je alors créer un fichier index.php vide ou avec redirection dans chacun des sous dossiers ? A noter que tous les droits des fichiers sont à 755 et que la page « index of … » s’affiche toujours. Merci à l’équipe bloggento pour ce travail et à bientôt.