PHPBoost CMS

A l'installation

Choix de mot de passe

Vous venez de mettre les fichiers de PHPBoost sur votre serveur, vous accédez à la page d'installation du logiciel. Lors de l'étape de création du compte administrateur, il vous est demandé de renseigner un mot de passe.

Le problème est que bien souvent les mots de passe des gens se limitent à 123456, azerty, leur prénom, leur nom, etc... Ceci est bien trop simple et peut facilement se deviner, les hackers ayant à leur disposition des scripts de recherche de mots de passe.
A noter que PHPBoost a un système de protection contre ce genre d'attaque, en bloquant des tentatives trop nombreuses d'essai de mots de passe.


Comment bien choisir son mot de passe?
Un mot de passe doit être le plus complexe possible! Avec des droits qui peuvent être nuisibles en cas de piratage de comptes, il faut un mot de passe assez complexe, mais facile à retenir. Créez votre propre mot de passe et vous serez déjà un peu plus tranquille. Pensez donc à indiquer aux personnes qui ont des responsabilités sur votre site de choisir un mot de passe le plus complexe possible.
Il est facile de faire des mots de passe complexes mais faciles à se souvenir. Prenez par exemple un mot, décomposez le et ajoutez des chiffres, majuscules et caractères spéciaux.

Prenons par exemple le mot password. On va le décomposer en pass et word. Pour compliquer on met des majuscules : Pass Word. Ensuite on ajoute des chiffres 1Pass2Word3 et enfin pour vraiment compliquer ajoutons des caractères spéciaux pour obtenir : 1,Pass2;Word3:&


Voici quelques règles importantes à respecter pour votre mot de passe :

• Minimum de 8 caractères
• Contient des chiffres, des majuscules, minuscules et caractères spéciaux
• Il ne doit jamais être un mot qu'on trouve dans le dictionnaire d'aucune langue
  

Ex : QL8(DtU1;OrF1t


N'UTILISEZ JAMAIS LE MÊME MOT DE PASSE pour le les bases de données, FTP, e-mail, interface d'administration du site web, etc..

Beaucoup de personnes font cette erreur, hors si le pirate trouve votre mot de passe, il tentera ce mot de passe sur votre serveur ftp, base de donnée, etc... et donc il aura encore plus d'accès...

Liste non exhaustive de quelques utilitaires pour créer vos mots de passe

http://www.henri-ruch.ch/Utilitaires/generateurMP/generateurMP.asp
http://www.freepasswordgenerator.com/
http://www.pctools.com/guides/password/

Register_globals : on ou off?

Register_globals est une fonction PHP de votre serveur : elle définit si oui ou non les variables EGPCS (Environment, GET, POST, Cookie, Server) seront enregistrées comme des variables globales. Depuis PHP 4.2.0 , la valeur par défaut de cette directive est off. (source manuelphp.com)

Il faut le mettre à Off, mais normalement il n'y a pas de problèmes si il est à On.
Si il est activé sur PHPBoost ça ne sera pas grave car toutes les variables sont initialisées et les variables générées par le register_globals sont supprimées.
Ceci dit niveau sécurité c'est dangereux si le programmeur n'y fait pas attention. Mais par défaut maintenant cela est désactivé et seuls les codes "à l'ancienne" utilisent cette propriété, qui entre nous ne devrait pas exister.


NB : si dans le panneau d'administration de votre hébergeur vous ne pouvez pas modifier la configuration de register_global, vous pouvez mettre dans le fichier .htaccess à la racine de votre site cette commande :

php_flag register_globals off

Une fois l'installation terminée tout n'est pas fini!

A la fin de l'installation, il est important de bien supprimer le répertoire /install vers lequel vous êtes redirigé lors du premier accès au site, cela évite qu'une personne mal intentionnée relance l'installation et supprime toutes les données de votre site.