Découverte de l'interface d'aeSecure

L'interface de aeSecure reprend deux menus (haut et à gauche) et une zone centrale qui affiche toutes les protections offertes par le programme.

Les deux menus restent en permanence à l'écran; celui de gauche affiche les thématiques; à l'instar d'une table des matières. En cliquant sur un thème (p.ex. 7. SEO), vous verrez la zone centrale être mise à jour afin d'afficher la première option du thème choisi.

Le menu supérieur (bandeau supérieur) propose certains liens externes mais, surtout, un menu Outils qui vous donnera accès à différents outils et à la possibilité de personnaliser aeSecure.


Bandeau supérieur

aeSecure - Menu supérieur

aeSecure - Menu supérieur

Ce bandeau, sur fond noir, reprend un certain nombre de liens et un menu nommé "Outils". Vous verrez apparaître dans la partie droite du bandeau deux informations concernant aeSecure et une concernant votre site web : 

  • Le type de licence dont vous disposez: Limited pour la version gratuite et Premium pour la version commerciale
  • Le numéro de version de aeSecure (version 1.0 dans l'exemple ci-dessus)
  • Et, pour votre site, la version de PHP qui est exécutée par votre serveur web (v5.3.8 dans l'exemple ci-dessus)

Le menu sécurité reprend la liste des thématiques; comme le fait le menu latéral qui disparaît sur les appareils mobiles.

aeSecure - Menu Outils

aeSecure - Menu Outils
Le menu Outils regroupe un grand nombre d'utilitaires :

  • phpinfo qui va afficher la configuration de votre serveur web.
  • Fichiers ayant été modifiés récemment qui va vous permettre d'afficher la liste des fichiers ayant été modifiés p.ex. les sept derniers jours. Cet utilitaire va dévoiler toute sa puissance si vous deviez être hacké et que vous souhaitez prendre connaissance des fichiers qui auraient pu être modifiés par le hackeur.
  • PhpSecInfo (site web) est utilitaire prodiguant des conseils sur la configuration de votre serveur web Apache.
  • JAMSS - Joomla-Anti-Malware-Scan-Script (site web) est un script développé pour le CMS Joomla!® et permettant de scanner les fichiers de votre site web à la recherche de "signatures" pouvant être celles d'un hackeur.
  • Trojan code remover (site web) va vous permettre de rechercher une chaîne de caractères que vous aurez identifiée (avec JAMSS - Joomla-Anti-Malware-Scan-Script p.ex.) et de la supprimer automatiquement dans tous les fichiers de votre site.

A côté de ces utilitaires, vous avez aussi la possibilité de voir votre fichier .htaccess complet, votre fichier php.ini (càd celui qui se trouve à la racine de votre site web), le journal des activités et le log des accès refusés.

Le journal des activités est celui qui reprend un enregistrement à chaque fois que vous activez/désactivez une sécurité dans aeSecure. Ainsi si "votre site fonctionnait et ne fonctionne plus", le journal des activités est une bonne piste pour savoir ce qui a été activé et ce qui pourrait être à l'origine de l'éventuel blocage.

Le log des accès refusés est la liste de tous les accès qui ont été faits sur votre site et qu'aeSecure a bloqués pour afficher la page "Accès interdit" (accessdenied.php). La consultation de ce log permet de prendre connaissance de l'action de aeSecure et, éventuellement, des urls bloquées mais qui n'auraient pas dû l'être.

Enfin, le menu Outils vous permet de désinstaller le .htaccess et php.ini de aeSecure et d'accéder à l'écran de configuration.


Menu latéral gauche

aeSecure - Menu latéral gauche

aeSecure - Menu latéral gauche
Ce menu agit comme une table des matières et vous permet un accès rapide à l'une ou l'autre thématique de l'écran central.

Le menu latéral disparaît lorsque vous surfez sur votre site depuis, p.ex., un smartphone. Pour cette raison, les liens du menu sont dupliqués dans le menu "sécurité" du bandeau supérieur.

Au fur et à mesure du scroll sur la page, l'entrée active du menu s'adaptera pour refléter la thématique actuellement vue dans la partie centrale.

Le menu est découpé en :

  • 1. sécurité de base / obligatoire : une installation de aeSecure sans avoir activé les protections de type "Must" est incomplète.
  • 2. sécurité additionnelle : niveau de sécurité à activer au cas par cas, selon la finalité de votre site web.
  • 3. Permissions : affichage d'un explorateur qui vous permet de modifier les permissions d'un fichier/dossier (le "chmod") ainsi que de supprimer un fichier/dossier sans avoir à accéder à votre client FTP.
  • 4. Joomla!® : y sont reprises toutes les sécurités à destination du CMS Joomla!.
  • 7. SEO (référencement) : fonctionnalités permettant de mieux référencer son site web sur les moteurs de recherche.
  • 8. optimisation de votre site web : fonctionnalités qui vont vous aider à avoir un site web rapide et optimisé.
  • 9. Divers : fonctionnalités dont vous aurez besoin de temps à autre comme p.ex. vider le dossier temporaire de votre site.

Zone centrale

Dans sa partie supérieure, vous verrez apparaître l'une ou l'autre information automatiquement réactualisée : un contrôle de la version de PHP active sur votre site sera effectué afin de savoir si vous avez une version à jour ou une ancienne et, si vous l'avez activé, un contrôle de version pour votre CMS (actuellement seul Joomla!® est supporté).

Ensuite, par thématique, vous verrez apparaître les options de sécurisations ou d'optimisation possibles. La numérotation permet de savoir dans quelle thématique on se trouve et de quelle option il s'agit (p.ex. 7.1 pour SEO - réécriture des urls).

Pour chaque option, vous aurez trois voire quatre onglets :

Les quatre onglets de aeSecure

Les quatre onglets de aeSecure

  • L'onglet "Introduction" explique brièvement ce que vous pouvez attendre de la protection proposée (ici "Mise en place du fichier .htaccess de aeSecure)
  • L'onglet "Explications détaillées" vous explique plus longuement pourquoi cette protection est nécessaire. Vous y trouverez le cas échéant une mise en garde.
  • L'onglet "Tester", si présent, vous permet de voir ce que fait la protection : avant activation, cliquez sur le lien proposé dans "Tester" puis, activez la protection et recliquer sur ce même lien. Dans le cas où la protection visait à bloquer l'url, vous verrez alors apparaître la page "Accès interdit" et vous aurez dès lors la confirmation que la protection est active.
  • Le dernier onglet peut se nommer "Protéger!" mais aussi "Éditer", "Vérifier", ... selon le type de protection. Il s'agit de l'onglet vous permettant de lancer l'action de protection.

Si vous regarder en haut à droite de la zone, vous verrez apparaître un ruban :

aeSecure - Protection obligatoireCe ruban vous informe que cette protection est obligatoire : si vous ne l'activez pas, aeSecure ne fonctionnera pas ou mal.

La protection 1.1 "Mise en place du fichier .htaccess de aeSecure" est obligatoire car elle installe le fichier .htaccess de aeSecure dans le dossier racine de votre site. Si vous possédiez déjà un tel fichier, une copie de sauvegarde de celui-ci sera faite dans le dossier /aesecure/backup de votre site et son contenu sera fusionné avec celui de aeSecure de telle manière que votre configuration actuelle sera conservée.

La protection 1.2 "protection des dossiers" n'est pas obligatoire mais sans elle, la protection du site est défaillante car un certain nombre de dossiers dits sensibles ne seront pas protégés correctement.


aeSecure - Protection de baseCe ruban vous informe que cette protection est nécessaire mais non obligatoire : vous pouvez ne pas l'activer en fonction de vos propres besoins et du type de site web que vous avez.

Par exemple, si votre site n'est pas un site de production, vous pourriez souhaiter voir les erreurs Apache comme p.ex. les warnings générés lorsqu'un fichier manque, une variable non présente. Si votre site est un site de production, c'est tout le contraire, vous devrez veiller à ce que les erreurs ne soient jamais affichées afin de ne pas divulguer des informations qui pourraient être utilisées par un éventuel hackeur.


aeSecure - Protection ultimeExtrême vous informe que cette protection n'est probablement pas à activer sur tous vos sites et uniquement en connaissance de cause.

Par exemple, vous pouvez bloquer l'upload (=l'envoi de fichier sur votre serveur web) mais dans ce cas, vous interdisez à un utilisateur d'uploader sa photo pour l'utiliser comme avatar, vous interdisez la mise-à-jour d'un programme, ... Si votre site web est statique, bloquer l'upload est une protection ultime pour vous prémunir de l'envoi d'un script malsain sur votre site toutefois, si votre site web est réalisé grâce à un CMS, là, vous rencontrerez des difficultés de mise-à-jour et l'impossibilité pour l'utilisateur de faire certaines actions.

Il y a donc lieu de bien lire les explications détaillées avant d'activer une protection "extrême".


aeSecure - Protection temporaireCe ruban vous informe qu'il s'agit d'une opération / protection dont vous pourriez avoir besoin mais de manière temporaire comme p.ex. l'activation du mode maintenance qui bloque tous les accès à votre site et qui les redirige vers une page "Actuellement en maintenance". Ces fonctionnalités sont donc fortemenent limitées dans le temps et selon votre besoin du moment.


  1. Installer aeSecure
Back to top