Bonjour,
Que doit-on faire quand la notification suivante est précisée par Moodle ?
" La configuration de votre site semble ne pas être sûre. Veuillez vous assurer que le dossier des données de Moodle (/..../..../public_html/moodle/uploaddata) ne soit pas directement accessible depuis le web."
Merci d'avance
Daniel
Le dossier de données de Moodle, le fameux "Moodledata" ne devrait pas se trouver dans un répertoire (ou un sous répertoire) accessible directement par le web, ce qui est actuellement le cas de ton répertoire "uploaddata" puisque situé à l'intérieur même du répertoire de Moodle.
Il faudrait le déplacer au minimum, au même niveau que le répertoire "public_html" et bien sur modifier le fichier config.php.
Il faudrait le déplacer au minimum, au même niveau que le répertoire "public_html" et bien sur modifier le fichier config.php.
Bonjour,
Ayant actuellement quelques bizarreries de fonctionnement sur mes plate-formes (sauvegardes impossibles sur l'une d'elle et depuis hier accès impossible sans placer le www dans l'adresse d'une autre) je me demande si je ne suis pas victime d'intrusions.
Pour répondre au message d'avertissement me signalant que la configuration ne semble pas sûre (discussion en cours), je dois donc déplacer (avec Filezilla par exemple ?) mon répertoire uploaddata à la racine de mon site et chercher dans le fichier config.php où se trouve le chemin ancien pour le modifier correctement ?
Ce sont des opérations dont je me méfie n'étant pas informaticien.
Je vais d'abord examiner le contenu de ce fichier de configuration...
Daniel
Ayant actuellement quelques bizarreries de fonctionnement sur mes plate-formes (sauvegardes impossibles sur l'une d'elle et depuis hier accès impossible sans placer le www dans l'adresse d'une autre) je me demande si je ne suis pas victime d'intrusions.
Pour répondre au message d'avertissement me signalant que la configuration ne semble pas sûre (discussion en cours), je dois donc déplacer (avec Filezilla par exemple ?) mon répertoire uploaddata à la racine de mon site et chercher dans le fichier config.php où se trouve le chemin ancien pour le modifier correctement ?
Ce sont des opérations dont je me méfie n'étant pas informaticien.
Je vais d'abord examiner le contenu de ce fichier de configuration...
Daniel
Bonjour Jérôme,
Puis-je déplacer mon répertoire uploaddata à la racine de mon site et modifier dans le fichier config.php le chemin indiquant ce dossier afin de sécuriser mes Moodles comme tu l'indiques dans ton message ?
C'est donc aussi simple et sans risques ?
Oui mais si j'ai plusieurs Moodle sur la même racine cela risque d'être la pagaïe.
Il faut peut-être les renommer...? Risqué non ?
Peut-on changer les droits d'écriture sur ce dossier sans perturber Moodle. Je suppose que non puisqu'on y trouve tous les cours... ?
En fait j'aimerais bien savoir quelles opérations simples peuvent assurer un minimum de sécurité chez un hébergeur mutualisé...
Quand je dis "simples" cela veut dire réalisables par un non informaticien.
PS: Je viens de regarder la doc Moodle et j'ai bien dans uploaddata un fichier htaccess contenant
Daniel
Puis-je déplacer mon répertoire uploaddata à la racine de mon site et modifier dans le fichier config.php le chemin indiquant ce dossier afin de sécuriser mes Moodles comme tu l'indiques dans ton message ?
C'est donc aussi simple et sans risques ?
Oui mais si j'ai plusieurs Moodle sur la même racine cela risque d'être la pagaïe.
Il faut peut-être les renommer...? Risqué non ?
Peut-on changer les droits d'écriture sur ce dossier sans perturber Moodle. Je suppose que non puisqu'on y trouve tous les cours... ?
En fait j'aimerais bien savoir quelles opérations simples peuvent assurer un minimum de sécurité chez un hébergeur mutualisé...
Quand je dis "simples" cela veut dire réalisables par un non informaticien.
PS: Je viens de regarder la doc Moodle et j'ai bien dans uploaddata un fichier htaccess contenant
deny from all AllowOverride None Donc je suppose que je suis protégé
Daniel
Bonjour Daniel,
je fichier .htaccess devrait t'assurer une protection minimale...
Mais il est beaucoup plus sur, si tu le peux, de remonter ton dossier uploaddata d'un niveau, afin qu'il ne soit pas accessible depuis le Web.
Et effectivement, il suffira de modifier le chemin d'accès dans le fichier config.php pour que la modification soit prise en compte, et que le fonctionnement continue comme avant
... mais de manière plus sécurisée
Et si jamais cela ne fonctionnait pas, il suffirait de tout remettre en place
Cordialement,
Séverin
je fichier .htaccess devrait t'assurer une protection minimale...
Mais il est beaucoup plus sur, si tu le peux, de remonter ton dossier uploaddata d'un niveau, afin qu'il ne soit pas accessible depuis le Web.
Et effectivement, il suffira de modifier le chemin d'accès dans le fichier config.php pour que la modification soit prise en compte, et que le fonctionnement continue comme avant
... mais de manière plus sécurisée
Et si jamais cela ne fonctionnait pas, il suffirait de tout remettre en place
Cordialement,
Séverin
Oui Daniel c'est aussi simple. Moi aussi j'ai plusieurs moodles sur le même serveur et j'ai créé un sous-répertoire dans moodledata pour chacun. Ce n'est pas risqué ni compliqué.
Exemple d'arborescence:
Il n'y a pas besoin de changer les droits d'écriture sur ces fichiers.
Quand au htaccess, il y a un bon moyen de vérifier que tes fichiers ne sont pas accessibles à partir du web: essayer d'y accéder avec ton navigateur. Si apache est bien configuré il y aura un message d'erreur du type 403.
Exemple d'arborescence:
- C:\
- wamp
- moodledata
- site1
- site2
- site3
- www (ou htdocs)
- site1
- site2
- site3
- moodledata
- wamp
Il n'y a pas besoin de changer les droits d'écriture sur ces fichiers.
Quand au htaccess, il y a un bon moyen de vérifier que tes fichiers ne sont pas accessibles à partir du web: essayer d'y accéder avec ton navigateur. Si apache est bien configuré il y aura un message d'erreur du type 403.
Merci Nicolas et Séverin,
Clair et parfait...
J'essaie tout cela.
Daniel
Clair et parfait...
J'essaie tout cela.
Daniel
Nicolas,
Moi j'ai adopté une arborescence différente, qui marche aussi:
Moi j'ai adopté une arborescence différente, qui marche aussi:
- C:\
- xamp
- htdocs
- moodle18
- moodle
- moodledata
- moodle19
- moodle
- moodledata
- moodle20
- moodle
- moodledata
- moodle18
- htdocs
- xamp
Oui ça peut marcher aussi, mais tes répertoires moodledata se trouvent dans le répertoire naviguable (webroot), donc il y a plus de risques de mal configurer les permissions de fichier. Je trouve ça plus simple d'avoir tous les moodledata en-dehors de htdocs, puisque htdocs est le seul répertoire à être accessible par le web (à moins d'en avoir d'autres configurés dans httpd.conf).
J'assume que tu te sers donc de fichiers .htaccess pour cacher ces répertoires?
J'assume que tu te sers donc de fichiers .htaccess pour cacher ces répertoires?
Bonjour,
Merci pour toutes ces informations.
C'est intéressant.
Nicolas dit :
J'assume que tu te sers donc de fichiers .htaccess pour cacher ces répertoires ?
Je suppose que tu veux dire :Je présume...
En ce qui me concerne j'ai essayé d'accéder au dossier Moodledata avec mon navigateur :http://www.monsite.monmoodle/moodledata et j'ai eu l'erreur 404 et ceci pour toutes mes plate-formes.
Comme j'ai le fichier htaccess c'est plutôt bon signe je présume ?
Du coup je n'ai pas encore déplacé mes moodledatas...
Daniel
Merci pour toutes ces informations.
C'est intéressant.
Nicolas dit :
J'assume que tu te sers donc de fichiers .htaccess pour cacher ces répertoires ?
Je suppose que tu veux dire :Je présume...
En ce qui me concerne j'ai essayé d'accéder au dossier Moodledata avec mon navigateur :http://www.monsite.monmoodle/moodledata et j'ai eu l'erreur 404 et ceci pour toutes mes plate-formes.
Comme j'ai le fichier htaccess c'est plutôt bon signe je présume ?
Du coup je n'ai pas encore déplacé mes moodledatas...
Daniel
Tu as raison Daniel, je voulais dire "je présume", mais je me suis fais avoir par un de ces faux amis Anglais...
Par contre cela m'étonne que tu aies l'erreur 404, cela devrait être 403...
Par contre cela m'étonne que tu aies l'erreur 404, cela devrait être 403...