aeSecure c’est quoi ?
aeSecure est un logiciel écrit sous php qui ajoute une couche de protection supplémentaire site web. En réalité, aeSecure ajoute de la protection aux sites fonctionnant sous un serveur Apache. Cela veut donc dire que, peu importe le système utilisé pour votre site (Joomla, WordPress, Drupal, …) vous devez juste avoir un serveur Apache. aeSecure offre donc une protection supplémentaire à vos CMS ou développement personnel, mais il vous offre en plus de tout cela des outils d’optimisations SEO. Les grands principes en terme de référencement SEO sont :
- Un mod_pagespeed qui écrit dans un fichier .htaccess un nombre de règles pour le module PageSpeed de Google (pour autant que votre hébergeur le permet), ce mode supprime les commentaires dans les fichiers css, js, html, etc… ce qui allège le poids du fichier et donc augmente la rapidité de téléchargement de votre site internet. Il permet également une fusion des fichiers css et encore bien d’autres options.
- aeSecure utilise également un mod_deflate ou mode_gzip, ces modes permettent une compression du code HTML retourné au navigateur. Cette compression va donc vous faire économiser de la bande passante et donc accélérer la vitesse d’affichage de votre page.
- aeSecure permet également de définir la durée de vie des fichiers statiques comme javascript, css, etc…, cela permettra de ne pas recharger les fichiers inutilement et donc aider aussi au chargement de la page..
Au niveau de la protection de votre site par aeSecure, cela regroupe une multitude d’outils et de principes très connus, mais très peu mis en place par les conceptions, par oublis ou par manque de temps ? Je ne sais pas, mais cela est fréquent.
La protection facile par système de bouton de type switch, reprend les principes suivants :
- Contrôle de la configuration au niveau de la version de php du serveur, si vous utilisez un CMS, aeSecure vérifie également la version du CMS. Une sécurité des fichiers et des dossiers, les différents types de CHMOD sur vos dossiers ….
- Installation d’un php.ini et implémentation de différents fichiers .htaccess pour protéger vos répertoires avec ou sans mot de passe. aeSecure en profite également pour ajouter un grand nombre de règles dans vos fichiers .htaccess.
- Protection des dossiers sensibles comme /administrator, /tmp, /images, …)
- Blocage des robots et réduction du spam
- Blocage des uploads. (non recommandé pour un CMS)
- Et encore beaucoup d’autres choses :p
Utilisateur de CMS, vous utilisez surement différents modules pour la réécriture de vos urls ? aeSecure s'en occupe également avec l'activation du mode SEF (réécriture des urls), vous utilisez aussi les outils webmaster tools de Google pour réduire le « duplicate-content » au niveau du préfixe www. et non www. de votre site ? aeSecure le fait également pour vous.
Le concepteur de aeSecure a également ajouté une partie spécialement dédicacée pour les utilisateurs de Joomla qui reprend un contrôle automatique de la version, un blocage automatique des inscriptions afin d’éviter la création de comptes fantômes, le blocage et la sauvegarde des requêtes vers des urls de composants non installés, mais testé par les hackers, une protection des fichiers de l’administration, une analyse des urls de redirection … Tout cela en un clic de souris et sans avoir besoin de connaissance approfondie.
Cerise sur le gâteau, si votre site a été hacké , aeSecure dispose d’outils vous permettant de :
- Déterminer quels sont les fichiers récemment modifiés.
- Un script JAMSS (Joomla Anti Malware Scan Script ).
- Un outil de suppression de Trojan (Trojan code remover ).
Vous l’aurez compris aeSecure est un outil formidable, sur le papier !
Mais au niveau réel, cela donne quoi ? Et bien nous allons tester tout cela ;-)
L'installation
Avant l'installation, notez les prérequis qui sont un site fonctionnant bien sur sous Apache (vous l'aviez compris) et une version PHP 5.2 minimum.
Pour l'installation de aeSecure rien de plus facile et surtout de plus rapide. Après avoir récupéré la version d'aeSecure sur le site de l'éditeur, vous disposez d'un seul et unique fichier nommé aesecure.php que vous uploadez sur la racine de votre serveur par FTP.
Ensuite tapez juste l'adresse "http://www.mondomaine.com/aesecure.php"
Cochez les deux petites cases si vous êtes bien sûr d'accord et surtout copiez l'url que le portail aeSecure vous donne
"http://www.mondomaine.com/aesecure/setup.php?EDFfddkfjdfDF90'çàçdfDDJ4"
Qui n'est autre que votre clé de connexion à la plateforme aeSecure, je vous rassure, vous pouvez la modifier par la suite.
Voilà aeSecure est installé, difficile non ? :p
Configuration
Avant tout vérifiez votre version si elle est bien à jour. Pour cela cliquez sur le petit « nuage » en haut à droite, un « popup » vous indiquera si cette dernière est bien à jour. (utile si vous avez stockez le fichier un certain temps avant l'installation)
Voilà votre interface de gestion pour l'optimisation de la sécurité de votre serveur (site web) et une amélioration de votre référencement.
A ce niveau vous allez remarquer sur la gauche un menu :
- Sécurité de base / obligatoire.
- Sécurité additionnelle
- Permissions
- Joomla
- Seo (référencement)
- Optimisation de votre site
- Divers
Je ne vais pas vous prendre pour des ineptes, chose que je ne pense d’ailleurs pas le moins du monde, vous aurez compris que ce menu (claire et rapide) vous conduit vers les différentes options.
Sur la partie de droite, vous avez les différentes configurations possibles où vous allez retrouver divers icones au côté des postes d’optimisation et sécurisation.
Cette protection est obligatoire
Cette protection est nécessaire mais non obligatoire
Cette protection n'est probablement pas à activer sur tous vos sites
Opération / protection dont vous pourriez avoir besoin mais de manière temporaire
Si vous désirez plus d’informations sur l’interface je vous invite à lire les informations sur le site de l’éditeur d’aeSecure où cela est expliqué en détail et de manière très ludique.
Au niveau de la configuration et l’optimisation vous remarquerez par exemple pour le poste « 1.1 Mise en place du fichier .htaccess de aeSecure » différentes rubriques sous forme d’onglet.
- Introduction : explication en résumé de la fonction de ce « module ».
- Explication détaillée : vous l’avez compris, le concepteur rentre dans le détail.
- Tester : permet de voir l’utilisation du « script ».
- Protéger ! : applique la modification
Le concepteur de aeSecure a bien comprit que tous les utilisateurs ne sont pas forcément des analystes développeurs, il a pu de manière très simple avec des mots relativement simples expliquer le fonctionnement et l’utilité de mettre en service ou nom de « module ».
Une fois sur votre partie « Protéger ! », cela devient plus difficile, vous devez cliquer sur le bouton « switch » pour activer la mise en place de la sécurité, oufff vous l’avez fait, dur dur n’est-ce pas ? :)
Après l'application du .htaccess sur votre site vous pourriez rencontrer une erreur 500, éditez votre fichier .htaccess et recherchez la ou les lignes reprenant le code : Options +FollowSymLinks ajoutez un # devant le ou les codes pour afficher ceci #Options +FollowSymLinks, sauvez votre fichier et le tour est joué.
Continuez à parcourir les différentes options possibles, vous verrez qu’il est intéressant d’appliquer les modifications sur votre serveur en terme de sécurité.
Utilisateur Joomla !, essayez les tests que aeSecure vous propose de faire, vous verrez sûrement des trous de sécurité basique connue que vous n’avez pas colmaté d’origine.
aeSecure ajoute une page de sécurité sur vos dossier, tmp par exemple.
Je ne vais pas vous faire des captures d'écrans de chaque élément car aeSecure va très loin dans la sécurisation et l'optimisation, il y a tellement d'options disponibles que je vais vous endormir avant la fin de cet article.
Une chose importante à noter est que aeSecure ne modifie rien à votre site web, si vous ne voulez plus l'utiliser, vous pouvez le désactiver et/ ou le désinstaller, votre site fonctionnera comme auparavant, vous n'avez donc aucun risque à le tester et je pense à l'adopter. Je vous invite à lire la documentation sur le site de l'éditeur « comment désinstaller aeSecure ».
Mon avis
Lors de mes différents tests, je n'ai rien remarqué au niveau de l'optimisation de chargement de mes pages, car mon hébergeur ne me permet pas cette optimisation. Par contre je suis très satisfait du niveau de sécurité que j'ai pu ajouter à mon site de test.
J'ai remarqué également une ou deux petites erreurs dans le logiciel aeSecure lors de l'application d'une ou l'autre option, j'ai contacté le concepteur qui m'a répondu rapidement (un dimanche) et qui me demande un email et screenshot pour résoudre le problème lundi. Je vous rassure, le problème vient de l'hébergeur et le concepteur de aeSecure ne peut pas non plus couvrir tous les cas de figure, mais il est très réactif, c'est le principal non ?
aeSecure est également compatible smartphone grâce à l'utilisation de bootstrap.
Conclusion
aeSecure est né ce début d'année, aeSecure est un produit de conception belge et est très prometteur.
Entre nous, je le conseille fortement pour tout le monde, le prix d'une licence premium est de 20 euros par an sans support ou 30 euros avec support, il existe également la version gratuite, mais limitée dans ses fonctionnalités additionnelles.
Je suis certain que le logiciel fera très prochainement parler de lui autant dans les communautés Joomla que Wordpress.
À vous de voir si vous préférez perdre du temps en cas de problème ou investir 20 – 30 euros par an et garantir une sécurité supplémentaire ?
Testez-le et faites-vous votre propre idée, je suis certain que vous n'allez pas le regretter.
J'en profite pour remercier Christophe Avonture, le concepteur d'aeSecure qui m'a fourni une licence premium pour établir mes différents tests.
Pour ma part, aeSecure fera maintenant partie intégrante dans les devis établis à mes clients, pour 20 euros par an je préfère garantir une sécurité complémentaire à mes développements ou à l'intégration de CMS.
Et vous que pensez-vous de cela ?
Liens :