Installazione di aeSecure 2.0.1b riuscita.

Choississez la version à installer

Selon votre abonnement, actif, sur le site http://www.aesecure.com/ vous avez le choix d'installer une des versions ci-dessous:

Informazioni importanti

  •  %AESECURESETUP_DISCLAIMER%
  •  %AESECURESETUP_DISCLAIMER_LIMITATION%

%AESECURESETUP_KEY%

%AESECURESETUP_KEYURL%

%AESECURESETUP_KEYCHANGE%
%AESECUREPOSTINSTALL%
%AESECUREMINIFYDISABLED%

Installazione di aeSecure 2.0.1b riuscita.

1. Sicurezza di base / obbligatoria

 
MUST

1.1 Mise en place du fichier .htaccess de aeSecure 

Il file .htaccess viene letto dal server web ogni volta che viene richiesto. Il file .htaccess di aeSecure contiene un gran numero di regole che aumenteranno la protezione e l'ottimizzazione del tuo sito web.

MUST

1.2 Protezione delle cartelle 

  1. Copia vari file .htaccess nelle principali cartelle del tuo sito web in modo da limitarne l'accesso ed impedirne l'esecuzione di codice php. Ad esempio nella cartella /tmp, ecc.
  2. Copia un file php.ini alla radice (root) del tuo sito web.
  3. Scansiona la struttura del tuo sito web e copia un file index.html in ogni cartella che dovesse esserne sprovvisto.
GOOD

1.3 Nascondere gli errori Apache 

Una volta il sito web messo in rete, devi assicurarti che l'utente non abbia modo di visualizzare errori PHP in modo da non divulgare informazioni che potrebbero indurre ad ulteriori attacchi.
NEED?

1.4 Modifica manuale del tuo file .htaccess 

A volte può essere necessario di modificare il file .htaccess per aggiungere alcune regole supplementari, come ad esempio l'attivazione di una versione PHP, una regola di reindirizzamento, …
NEED?

1.5 Blocco di indirizzi IP 

Bloccare un indirizzo IP corrisponde a vietare per un determinato computer l'accesso al tuo sito. Quando subiamo un attacco si consiglia di bloccare gli indirizzi IP dei computer "nemici". Nota: l'indirizzo IP è spesso dinamico e quindi cambia regolarmente.
GOOD

1.6 Blocco basato sugli elementi nell'URL  

Dopo aver analizzato il file log del tuo web server, noterai vari tentativi di accesso a determinati URL :
  • URL che fanno riferimento a file inesistenti (per esempio food.php)
  • URL contenenti parametri che potrebbero mettere a rischio il tuo sito (per esempio, i tentativi di caricamento di alcuni file)
L'opzione 1.6 ti permette di elencare le regole di blocco per questi URL
GOOD

1.7 Interdiction d'accès à certains fichiers par URL 

Votre site web contient certains fichiers dont l'accès direct par URL doit être rendu impossible; c'est le cas p.ex. des fichiers configuration.php (Joomla!®) ou wp-config.php (WordPress). C'est aussi le cas pour les fichiers .htaccess, readme.txt, etc.
NEED?

1.9 Attiva/Disattiva la modalità di manutenzione  

Questa modalità consente di reindirizzare tutti gli utenti (tranne te) che arrivano su un sito in manutenzione


2. Sicurezza aggiuntiva

 
EXTREME

2.1 Limitare l'accesso ad una cartella su base dell'indirizzo IP  

L'accesso ad una cartella (per es. /amministratore) sarà limitato ad uno o più indirizzi IP predefiniti. In tal modo, solo alcuni computer avranno accesso al sito.

GOOD

2.2 Protezione tramite password 

Colloca un file .htpasswd In una directory per limitare l'accesso solo ai detentori di un login/password.

 Suggerimento: Idealmente si dovrebbe proteggere almeno la cartella admin. Se la cartella di salvaguardia (backups) si trova nella struttura del sito web (per es. /salvaguardie) pensa a proteggere pure questa.

GOOD

2.3 Limita i robots e lo spam 

Blocca l'accesso del tuo sito web ai robot la cui firma è nota come dannosa e cioè vieta l'accesso ai programmi capaci di effettuare una copia del tuo sito (chiamati anche "aspirapolveri di siti web"). Blocca inoltre alcune parole chiavi su base di liste nere.

EXTREME

2.4 Blocca l'upload dei file  

L'hacking di un sito avviene spesso con l'invio di programmi pericolosi. Bloccandone l'invio sul tuo server sarai protetto contro questo tipo di attacco. Leggi le spiegazioni dettagliate prima di attivare la protezione

GOOD

2.5 Blocca l'indicizzazione di alcuni file.  

Vieta l'accesso ai motori di ricerca verso file di tipo zip e MS Office che si trovano sul tuo sito web.

GOOD

2.6 Blocca l'accesso ai file e cartelle nascoste 

I file e cartelle avendo come caratteristica un punto prima del nome risultano dei file / cartelle nascoste. In alcuni siti cartelle tali .backups, .git, .svn, … possono essere presenti ed essere accessibili (di default) da un indirizzo URL.

GOOD

2.7 Vieta l'accesso al file robots.txt ( ... e ai curiosi... )  

robots.txt è il nome del file alla radice del tuo sito (root) che contiene le informazioni per i motori di ricerca: sono dettagliati i file e cartelle che devono essere o non essere indicizzati. È un file destinato esclusivamente ai motori di ricerca (bot) e non agli esseri umani in quanto potrebbero scoprire l'arborescenza del tuo sito.

GOOD

2.8 Blocca l'accesso basandosi su 'user-Agent'  

Ogni accesso al tuo sito viene effettuato tramite un'applicazione, di solito un browser. Salvo eccezione, ogni applicazione possiede una firma: il suo nome. Questa informazione è trasmessa nella variabile 'user-agent' ogni volta che si accede al tuo sito.

Alcune di queste informazioni sono note per essere degli script di attacco, come ad esempio 'BOT/1.0 (BOT for JCE)' il quale cerca di accedere al tuo sito utilizzando una falla di sicurezza dell'editore JCE (falla risolta ormai da parecchio tempo).

Questa opzione ti permetterà di utilizzare un blocco di accesso al tuo sito basandosi sull' user-agent utilizzato.

GOOD

2.9 Bloque l'accès sur base du 'Referrer'  

Le referrer (référant en Français), s'il est mentionné, est le site qui a généré une requête sur le vôtre. Par exemple, lorsque quelqu'un arrive sur votre site après avoir cherché sur Google, le referrer est 'www.google.com'.

Lorsqu'un site tiers affiche un flux RSS proposé par le vôtre, le referrer est le nom de domaine du site tiers. En bloquant tel ou tel referrer, vous allez interdire le trafic venant de ces sites-là.


3. File e cartelle

 
GOOD

3.1 File e cartelle  

Specifica i diritti di accesso (chmod) delle cartelle e dei file del tuo sito. In tal modo si possono impostare i file che non devono essere modificati o le cartelle nelle quali non è possibile scrivere nuovi file.

GOOD

3.2 Verifica i permessi (chmod) delle cartelle e dei file 

Quando il livello di accesso (chmod) ad un file è parametrato a 777, significa che il file è accessibile, modificabile ed eseguibile da qualsiasi utente. La situazione è ancora più critica se tali parametri sono applicati ad una cartella: chiunque potrebbe creare un file, inserire un codice maligno ed eseguirlo.

A priori, non c'è scenario che richieda tale livello di accesso per le cartelle o/e i file.

4. Content Management System (CMS)

 
GOOD

4.1 Controllo della versione di Joomla®  

Finché si rimane all'ultima versione maggiore della versione in uso (1.5.x, 2.5.x, 3.x), non vi è alcun motivo per non aggiornare Joomla!®

EXTREME

4.2 Bloccare le iscrizioni native di Joomla!® 

Alcuni script maligni mirano i siti Joomla tramite un indirizzo URL pubblico che permette loro di creare utenti "fantasma" in massa. Se vuoi proibire la creazione di nuovi conti utenti e/o se utilizzi un componente di tipo Community Builder o JomSocial, disattiva il componente nativo com_user

GOOD

4.3 Protegge i file dell'amministrazione Joomla!® 

Blocca l'accesso diretto (via indirizzo URL) ai file della cartella /administrator. Alcuni file, ad esempio i file di tipo XML, possono rivelare molte informazioni ad una persona malintenzionata (ad esempio la versione esatta di Joomla!®)

L'accesso ai file multimediali (css, js, png ...) resta possibile.

GOOD

4.4 Blocca l'accesso ad alcuni componenti Joomla!®  

Nel file log del server Apache (non quello di Joomla!®), si possono trovare un gran numero di righe che fanno riferimento a URL di tipo index.php?option=com_xxxxx allorché com_xxxxx non è mai stato installato sul tuo sito. Si tratta di un tentativo di hacking: probabilmente com_xxxxx è un componente Joomla!® per il quale una falla di sicurezza è conosciuta ed alcuni hackers sono in agguato pronti a scansionare il web alla ricerca di siti potenzialmente vulnerabili.

Utilizza questa opzione per bloccare questi URL.

GOOD

4.5 Ricerca del conto "admin"  

Hai per caso ancora un conto "admin" attivo sul tuo sito?

GOOD

4.9 Visualizza il contenuto dei reindirizzamenti Joomla!®  

Dalla versione 1.7, Joomla!® salva nel componente redirect (reindirizzamento) gli indirizzi URL che non sono arrivati a buon fine, ad esempio quando l'URL fa riferimento ad un componente che non è installato. Dai un'occhiata a questa tabella, potrebbe eventualmente elencare una lista di URL utilizzati da hacker per accedere al tuo sito.


5. Database

 
GOOD

5.1 Esportazione del database nel formato SQL  

Dopo esecuzione, otterrai un file di tipo testo contenente il codice SQL che andrà a rigenerare completamente il database.

Si tratta dunque di una salvaguardia completa del database.


7. SEO (posizionamento)

 
GOOD

7.1 Riscrittura (rewriting) degli URL 

I siti web dinamici utilizzano degli URL con molti parametri, è il caso di Joomla!® che utilizza un URL di questo tipo index.php?option=com_users&view=registration. Questi URL sono poco intuitivi per i motori di ricerca e non consentono di definire quello per cui la pagina è stata creata, contrariamente ad una pagina con un URL di tipo /inscriptions.html che sarà più facilmente reperibile dai motori di ricerca.

GOOD

7.2 Costringe (o no) la scrittura del prefisso www negli indirizzi URL 

Per evitare i contenuti duplicati (duplicate content), si consiglia di costringere la scrittura degli URL del sito in modo che il prefisso www sia menzionato o no. Si avrà quindi un miglior posizionamento.

GOOD

7.3 Modifica del file robots.txt  

Il file robots.txt è collocato alla radice (root) del tuo sito e fornisce indicazioni ai motori di ricerca su come deve essere effettuata la ricerca. Ad esempio, grazie al file robots.txt puoi vietare ai motori di ricerca di indicizzare i file nella cartella di amministrazione o altri file sensibili e privati.

GOOD

7.4 Gestione die reindirizzamenti (redirect)  

I reindirizzamenti (redirect) consentono di correggere alcuni URL con lo scopo di indirizzarli verso altri URL. Esempio: http://ilmiosito/pagina-soppressa verso http://ilmiosito/nuova-pagina. Si tratta di uno strumento particolarmente efficace per correggere gli URL "morti" che vengono segnalati da strumenti online come Google Webmaster Tools.


8. Ottimizzazione del tuo sito

 
GOOD

8.1 Sfruttare il modulo mod_pagespeed  

Il mod_pagespeed è un modulo Apache che può essere attivato dal tuo hosting e nel caso fosse possibile il tuo sito potrà essere ottimizzato grazie a questo modulo

GOOD

8.2 Attiva la compressione lato server  

La compressione lato server (mod_gzip o mod_deflate) è una funzionalità offerta da quasi tutti i web hosting, permette di comprimere in tempo reale il codice delle tue pagine HTML. Questo tipo di compressione riduce drasticamente il peso della pagina e consente quindi una visualizzazione più rapida

GOOD

8.3 Specifica la durata di vita dei file statici.  

I file statici, come ad esempio i file JavaScript, css, immagini, web font, … sono per impostazione predefinita (default) scaricati ogni volta che una pagina è visualizzata dal medesimo utente. Specificare la durata di vita permette al navigatore di non scaricare nuovamente questi file.

GOOD

8.4 "Minimizzazione" dei file css, html et javascript.  

Dietro questo termine poco elegante (in inglese: minify) si nasconde una funzionalità che permette di ridurre il peso dei file html, css e javascript sopprimendo al volo gli spazi vuoti e i fine riga inutili. Il peso finale del file ne risulta più leggero e la pagina sarà caricata più velocemente.

GOOD

8.9 Impedire l'hotlinking  

Proibisce ad altri utenti di utilizzare la tua larghezza di banda al fine di riferire le tue immagine sul loro sito.


9. Varie

 
GOOD

9.1 Svuota la cartella temporanea del tuo sito 

Ogni tanto pensa a svuotare la cartella temporanea


GOOD

9.2 Svuota le cartelle cache del tuo sito 

Le cartelle della cache (/cache et /administrator/cache), se esistenti, servono a mantenere le informazioni temporanee con lo scopo di accelerare la loro visualizzazione; queste cartelle devono essere svuotate periodicamente


GOOD

9.3 Crontab - Exécution planifiée sur le serveur  

Selon votre formule d'hébergement, vous pourriez avoir la possibilité d'accéder au 'crontab' : il s'agit d'une option, côté serveur, qui vous permet d'exécuter un job p.ex. toutes les heures, une fois par jour, le 1er jour du mois, etc.

aeSecure propose aux utilisateurs Pro un script qui, p.ex., peut être exécuté toutes les heures pour détecter les fichiers qui auraient été ajoutés ou modifiés sur votre serveur. Une notification par email sera alors envoyée; ce qui vous permettra d'immédiatement agir en cas de modification n'étant pas de votre chef.


GOOD

9.4 Générateur de mot de passe 

Cet outil va vous permettre de générer un mot de passe aléatoire d'une longueur variant entre 10 et 40 caractères. Le mot de passe généré sera composé de majuscules, de minuscules, de chiffres et de caractères spéciaux.