Le programme aeSecure, un outil formidable pour optimiser et protéger vos sites web

Courant Septembre 2013, j’ai lu sur le net que Christophe Avonture avait commencé à écrire un nouveau logiciel de protection et d’optimisation de sites web tournant sous Apache ; càd la majorité des sites web de par le monde.
Je connais Christophe depuis 2010 car je surveillais l’évolution de son composant pour Joomla! nommé SportingEvents renommé depuis AllEvents, un excellent  composant pour la création d'évènements, étant consultant expert avec le CMS Joomla dans la création de sites  web, je l'utilise régulièrement pour les sites de mes clients.
Lorsqu’aeSecure a été proposé en téléchargement pour la première fois, j’avais jeté un œil au programme qui était prometteur mais je trouvais qu’il lui manquait certaines options comme par exemple une possibilité de surveiller différents sites en un lieu central (un panneau de contrôle multisites (inclus dans la version pro 1.2)).
Entre la première version et l’actuelle (1.2.2 au moment d’écrire ce billet), j’ai surveillé avec intérêt l’évolution du logiciel et depuis quelques mois, aeSecure est à l’œuvre pour protéger mes sites et ceux de mes clients.
Mais que fait ce logiciel ?  Il est actif dans deux domaines : la protection et la sécurisation du site.

Voir les détails en vidéo

Sécurisation du site

Un vraie couteau suisse pour la protection de votre site

AeSecure a deux niveaux de protections : l’interception et le blocage.

Interception

Il travaille comme un pare-feu (firewall) logiciel : il analyse les URLs utilisées pour accéder à votre site web et il va bloquer celles qui sont suspectes.  Pour cela, il vérifie la présence de certains caractères ou mot dans l’adresse.   Ainsi, par exemple, l’accès à des fichiers ou dossiers protégés seront interdit par aeSecure, les attaques de type « SQL injections » seront interceptées de même que l’utilisation de code javascript dans l’URL et bien d’autres choses.
Un peu à la manière d’un antivirus, il s’agit de retrouver des caractéristiques « suspectes » et dès lors de bloquer l’accès à votre site.   
Lorsqu’aeSecure bloque une URL, il va l’enregistrer dans un fichier log et, selon votre souhait, vous envoyer une notification par email.    Votre site web ne sera pas accédé, l’attaque aura été interceptée et  stoppée avant l’accès à votre site.
aeSecure, bloquant les URLs dangereuses, il va palier à la faiblesse d’une extension installée : même si vous avez une extension qui ne vérifierait pas les paramètres de l’URL, aeSecure veillera et bloquera l’attaque en amont.

Blocage

A côté de ce premier niveau de protection, aeSecure va protéger un très grand nombre de dossiers de votre site web ; par exemple le dossier /images de votre site Joomla.
Pourquoi ?   Parce qu’il est possible qu’un composant tel qu’un gestionnaire d’utilisateurs ou un éditeur de texte accepte l’upload d’images, p.ex., en offrant  la possibilité de charger sa photo comme miniature pour son profil.
Dans certains cas, l’image qui est uploadée n’est pas une image mais un script php se faisant passer pour une image.  Le composant va charger le fichier et le placer dans le dossier /images.   L’attaquant pourra, dans un second temps, accéder à une url du type votresite/images/mon_avatar.gif.php.
Ce code sera pourtant stoppé par aeSecure car il aura placé une protection dans le dossier /images pour interdire l’exécution de code php dans ce dossier et tous ses sous-dossiers.
Cela est vrai pour le dossier /images mais pour plusieurs autres aussi.
Les règles vont varier d’un dossier protégé à un autre ; p.ex. l’accès à votre dossier d’administration de votre site pourra être bloqué à tout le monde excepté à une ou deux machines (sur base de l’adresse IP) ou étant en possession d’un login/mot de passe particulier (en plus du login/mot de passe de Joomla).

Optimisation

Le second domaine d’action d’aeSecure est d’optimiser la vitesse d’affichage de votre site en réglant au mieux le cache de votre site et en activant la compression de la page avant son envoi.   Un peu à la manière d’un fichier zip sur votre ordinateur, aeSecure va exiger du serveur web que la page HTML soit compressée avant son envoi ce qui va faire gagner environ 60% de son poids.   La page compressée sera décompressée par le navigateur de manière totalement transparente.
aeSecure peut aussi « minimifier » des feuilles de style et des fichiers javascript en éliminant les caractères inutiles comme p.ex. les commentaires ou les retours à la ligne.   Le but est de diminuer le poids des pages.
Prochainement, aeSecure va aussi proposer une fonction de redimensionnement des images : l’idée étant que des utilisateurs de votre blog postent des photos en taille maximale, sans prendre le temps de les redimensionner pour un affichage sur le web.  aeSecure va pouvoir les redimensionner sans intervention humaine pour p.ex. une taille maximale, à l’écran, de 600x800.

Une constante évolution

Le programme aeSecure est en constante évolution et depuis Juillet 2014, Christophe travaille sur la prochaine version 1.3 qui, à en lire les nouvelles sur la fanpage aeSecure sur Facebook offrira encore plus de possibilités : outil de test de pénétration de son site pour vérifier qu’aeSecure est bien configuré, un script à planifier sur le serveur pour p.ex., chaque heure, vérifier qu’aucun fichier n’a été créé et/ou modifié sur le site, une simplification de l’interface pour les sites n’étant pas créés au départ d’un CMS, une fonction de chargement de valeurs immédiatement depuis le site d’aeSecure (ex : récupérer la liste des blocages d’urls au départ d’aeSecure), un script qui va scanner le site pour détecter les fichiers qui ont une extension donnée mais dont le contenu ne correspond pas à l’extension (p.ex. du code php dans un fichier .gif), etc.
aeSecure est né à la toute fin 2013 et, en moins d’un an, il a connu un très forte évolution et nul doute que ce n’est pas fini.
L’outil est disponible en plusieurs versions dont une version gratuite, illimitée dans le temps.  Les versions Premium (20€/an) et Pro (100€/an) peuvent être installées sur autant de sites que l’on souhaite.  Plus d’info ici : http://www.aesecure.com/fr/telechargement.html
Développé par un expert Joomla!®, aeSecure n’est pas moins agnostique du CMS : le seul critère est qu’il faut que le site soit un site Apache et donc, vous pouvez l’installer pour sécuriser/optimiser un site WordPress, Drupal, Joomla!®, Dreamweaver, HTML, etc.   Peu importe le contenu du site, aeSecure en prendra soin.

Visiter le site de aeSecure ci-dessous

Christophe Avonture
Développer - Analyste programmeur- programmeur Databases
Adresse: rue de Pellaines 71 Racour 4287 Belgique
https://plus.google.com/+ChristopheAvonture