iGalerie

Documentation d'iGalerie 3

Accès à l'interface d'administration

Emplacement et liens

L'interface d'administration se trouve dans le répertoire admin d'iGalerie. C'est à dire que si vous avez installé iGalerie à l'adresse http://localhost/igalerie/, la partie d'administration sera accessible à l'adresse http://localhost/igalerie/admin/.

La console de connexion à l'interface d'administration
La console de connexion à l'interface d'administration.

Avec le thème par défaut d'iGalerie 3, un lien vers l'administration se trouve en permanence en pied de page.

Lien "admin" en pied de page.

Lorsque vous êtes connecté comme administrateur, un lien sous forme d'icône menant vers une page de l'administration apparaîtra pour chaque catégorie, album et fichier.

Lien menant vers la page d'administration d'une photo (affichage sur smartphone).

Mot de passe oublié

Dans iGalerie, aucun mot de passe n'est enregistré en clair (c'est à dire tel quel). Aussi, si vous avez perdu votre mot de passe administrateur, vous devrez suivre la procèdure indiquée en cliquant sur le lien Mot de passe oublié de la console de connexion et fournir les informations demandées afin de générer un nouveau mot de passe qui vous sera envoyé par courriel.

Si vous n'arrivez pas à vous connecter, vous trouverez sans doute une solution dans la partie de la FAQ dédiée à ce problème.

Sécurité

Répertoire admin

Il est possible de renommer le répertoire admin par le nom de votre choix à la condition de renseigner le nouveau nom dans la constante CONF_ADMIN_DIR du fichier config/conf.php (sans quoi les liens depuis la galerie vers l'administration ne fonctionneront plus). L'intérêt de renommer le répertoire admin est de compliquer la vie d'un attaquant qui pourrait exploiter une éventuelle faille de sécurité de la partie d'administration. En utilisant un nom de répertoire généré aléatoirement et suffisamment complexe, il sera alors difficile pour un attaquant de déterminer l'emplacement de l'interface d'administration.

Notez qu'en faisant cela, le lien de bas de page vers l'administration n'apparaîtra plus, sinon le changement de nom de répertoire n'aurait plus aucun sens puisqu'il serait visible pour tout le monde !

Liste blanche d'adresses IP

Pour sécuriser encore plus l'accès à l'interface d'administration, il est possible de mettre en place une liste blanche d'adresses IP pour les comptes administrateurs avec le paramètre de configuration CONF_AUTH_ADMIN_IP du fichier config/conf.php. Par défaut, ce paramètre est vide, ce qui signifie que tous les administrateurs peuvent se connecter depuis n'importe quelle IP. En remplissant ce paramètre avec une IP (ou plusieurs IP séparées par des espaces), les administrateurs ne pourront se connecter que depuis cette IP. Si un administrateur tente de se connecter depuis une autre IP, sa connexion sera refusée avec le message "Votre IP n'est pas sur liste blanche".

Ainsi, même si un attaquant réussi à deviner votre nom d'utilisateur et votre mot de passe, il lui sera impossible de se connecter à votre compte depuis une autre IP que la vôtre.

Cette mesure de sécurité est d'autant plus efficace que la vérification de l'IP ne se fait pas seulement lors de l'authentification par formulaire, mais également à chaque requête après authentification (affichage de n'importe quelle page de l'application ou requête Ajax). De telle sorte que même si un attaquant parvient à voler votre identifiant de session (stocké dans un cookie), il ne pourra toujours pas se connecter à votre compte ou effectuer la moindre tâche d'administration.

Dernière modification : 22/03/2024