FAQ PHPBoost - Sécuriser son site
Un des points clé de PHPBoost est la sécurité. L'ensemble du noyau est conçu pour sécuriser au maximum les données. Toutes les techniques connues concernant les attaques de sites web sont bloquées. Cependant nous ne sommes pas à l'abri d'une attaque qui peut être réussie si on fait face à quelqu'un de revanchard et compétent ; comme pour n'importe quel système. Le risque 0 n'existe pas, mais sur PHPBoost il a été minimisé au maximum. La sécurité est l'argument prioritaire lors du développement.
Seulement vous avez beau avoir l'application la plus sûre du monde, il y a des erreurs votre part que l'application ne peut pas bloquer, surtout concernant la fuite de mots de passes, le fait de faire confiance à des gens alors qu'on ne les connait pas... Comme on dit, rien ne sert d'avoir une porte blindée si vous laissez la fenêtre ouverte. Voici donc quelques petits conseils qu'il est fort recommandé de suivre, si vous les respectez vous mettez toutes les chances de votre côté pour éviter les attaques.
Seulement vous avez beau avoir l'application la plus sûre du monde, il y a des erreurs votre part que l'application ne peut pas bloquer, surtout concernant la fuite de mots de passes, le fait de faire confiance à des gens alors qu'on ne les connait pas... Comme on dit, rien ne sert d'avoir une porte blindée si vous laissez la fenêtre ouverte. Voici donc quelques petits conseils qu'il est fort recommandé de suivre, si vous les respectez vous mettez toutes les chances de votre côté pour éviter les attaques.
Bien souvent les mots de passe des gens se limitent à 123456, azerty, leur prénom, leur nom, etc... Ceci est bien trop simple et peut facilement se deviner.
Un mot de passe doit être le plus complexe possible! Voici quelques règles importantes à respecter pour votre mot de passe :
Ex : QL8(DtU1;OrF1t
N'UTILISEZ JAMAIS LE MÊME MOT DE PASSE pour le les bases de données SQl, FTP, e-mail, interface d'administration du site web, etc... Beaucoup de personnes font cette erreur, hors si le pirate trouve votre mot de passe, il tentera ce mot de passe sur votre serveur ftp, base de donnée, etc... et donc il aura encore plus d'accès...
Avec des droits qui peuvent être nuisibles en cas de piratage de comptes, il faut un mot de passe assez complexe, mais facile à retenir. Créez votre propre mot de passe et vous serez déjà un peu plus tranquille
Pensez donc à indiquer aux personnes qui ont des responsabilités sur votre site de choisir un mot de passe le plus complexe possible.
Il est facile de faire des mots de passes complexes mais faciles à se souvenir. Prenez par exemple un mot, décomposez le et ajoutez des chiffres, majuscules et caractères spéciaux.
ex : Prenons par exemple le mot password. On va le décomposer en pass et word. Pour compliquéer on met des majuscules : Pass Word. Ensuite on ajour des chiffres 1Pass2Word3 et enfin pour vraiment compliquer ajoutons des caractères spéciaux pour obtenir : 1,Pass2;Word3:&
Ils ne nécessitent pas le même soucis de complexité car les conséquences sont moindres, un minimum de 8 caractères est conseillé.
http://www.henri-ruch.ch/Utilitaires/generateurMP/generateurMP.asp
http://www.freepasswordgenerator.com/
http://www.pctools.com/guides/password/
Comment avoir un mot de passe sécurisé?
Un mot de passe doit être le plus complexe possible! Voici quelques règles importantes à respecter pour votre mot de passe :
- minimum de 8 caractère
- contient des chiffres, des majuscules, minuscules (et caractères spéciaux si supporté)
- il ne doit jamais être un mot qu'on trouve dans le dictionnaire d'aucune langue
Ex : QL8(DtU1;OrF1t
N'UTILISEZ JAMAIS LE MÊME MOT DE PASSE pour le les bases de données SQl, FTP, e-mail, interface d'administration du site web, etc... Beaucoup de personnes font cette erreur, hors si le pirate trouve votre mot de passe, il tentera ce mot de passe sur votre serveur ftp, base de donnée, etc... et donc il aura encore plus d'accès...
Pour votre mot de passe d'administrateur ou modérateur
Avec des droits qui peuvent être nuisibles en cas de piratage de comptes, il faut un mot de passe assez complexe, mais facile à retenir. Créez votre propre mot de passe et vous serez déjà un peu plus tranquille
Pensez donc à indiquer aux personnes qui ont des responsabilités sur votre site de choisir un mot de passe le plus complexe possible. Il est facile de faire des mots de passes complexes mais faciles à se souvenir. Prenez par exemple un mot, décomposez le et ajoutez des chiffres, majuscules et caractères spéciaux.
ex : Prenons par exemple le mot password. On va le décomposer en pass et word. Pour compliquéer on met des majuscules : Pass Word. Ensuite on ajour des chiffres 1Pass2Word3 et enfin pour vraiment compliquer ajoutons des caractères spéciaux pour obtenir : 1,Pass2;Word3:&
Les mots de passe pour les utilisateurs
Ils ne nécessitent pas le même soucis de complexité car les conséquences sont moindres, un minimum de 8 caractères est conseillé.
Liste non exhaustive de quelques utilitaires pour créer vos mots de passe :
http://www.henri-ruch.ch/Utilitaires/generateurMP/generateurMP.asp
http://www.freepasswordgenerator.com/
http://www.pctools.com/guides/password/
Ces consignes s'adressent à tout le monde et surtout pour les administrateurs et les modérateurs chez qui la connexion à leur site par un intrus peut engendrer de graves conséquences puisque la personne aura accès au panel d'administration et à la base de données. Cela doit être un réflexe chez tout le monde. Tout d'abord il y a 2 risques
Si vous êtes sur votre ordinateur personnel et que vous êtes le seul utilisateur, les risques sont moindres.
Par contre si vous êtes sur un ordinateur public, les risques sont beaucoup plus graves. Dans ce cas lorsque vous quittez l'ordinateur :
La sécurité des sites est un point important que beaucoup de personnes négligent car ne se rendent pas compte des conséquences que cela peut avoir...
- Votre session reste ouverte et ainsi quelqu'un peut utiliser votre compte pour effectuer des manipulation pouvant être grave pour votre site
- Les navigateurs proposent d'enregistrer automatiquement vos mots de pass et ainsi vous avez déjà le pseudo et le mot de passe de mis dans les champs pour se connecter
Si vous êtes sur votre ordinateur personnel et que vous êtes le seul utilisateur, les risques sont moindres.
Par contre si vous êtes sur un ordinateur public, les risques sont beaucoup plus graves. Dans ce cas lorsque vous quittez l'ordinateur :
- Déconnectez vous de votre session en cours
- Allez dans les paramètres du navigateur et effacez les cookies, le cache, les mots de passe enregistrés et les sessions d'identification.
La sécurité des sites est un point important que beaucoup de personnes négligent car ne se rendent pas compte des conséquences que cela peut avoir...
Dans le pack de PHPBoost se trouve un répertoire install/ pour installer PHPBoost. A la fin de l'installation, il est important de bien supprimer ce répertoire, cela évite qu'une personne mal intentionnée relance l'installation et supprime toutes les données de votre site.
Il en est de même pour le répertoire update/ lors d'une mise à jour de PHPBoost.
Il en est de même pour le répertoire update/ lors d'une mise à jour de PHPBoost.
Il peut parfois être nécessaire de donner un accès FTP à un tiers pour différentes raisons. Mais donner l'accès au FTP à une personne mal intentionnée peut avoir de graves conséquences pour votre site. Il peut par exemple :
Mais alors vous allez me dire qu'il ne faut pas donner d'accès FTP ?
Bien sûr que vous pouvez donner un accès FTP à quelqu'un, mais ne lui donnez pas l'accès à TOUT le serveur, réservez lui un accès un un répertoire par exemple. Pour créer un compte FTP à un membre et lui définir un espace bien particulier, il faudra vous rendre dans le panel d'administration de votre hébergeur (les hébergeurs gratuits et payants bas de gamme ne proposent souvent pas cette fonction).
- insérer un code source malicieux
- effacer des fichiers ou tout le contenu de votre FTP
- S'approprier du fichier config.php, et ainsi accéder à votre base de donnée
- etc...
Mais alors vous allez me dire qu'il ne faut pas donner d'accès FTP ?
Bien sûr que vous pouvez donner un accès FTP à quelqu'un, mais ne lui donnez pas l'accès à TOUT le serveur, réservez lui un accès un un répertoire par exemple. Pour créer un compte FTP à un membre et lui définir un espace bien particulier, il faudra vous rendre dans le panel d'administration de votre hébergeur (les hébergeurs gratuits et payants bas de gamme ne proposent souvent pas cette fonction).
Un site à jour est la première et meilleure défense de votre site. Il est parfois étonnant de voir les webmasters réticents à mettre à jour leur site (peur de perdre ses données, trop dur, leur site est stable alors pourquoi changer? etc...).
Il peut exister plusieurs types de mise à jour :
Par principe, l'équipe de PHPBoost vous conseillera toujours de réaliser les mises à jours, quel que soit son type.
Si vous ne les faites pas, il faudra assumer vos erreurs.
Bref si par exemple il existe une mise à jour faille de sécurité, il faudra ABSOLUMENT réaliser cette mise à jour. Par contre si cela est une mise à jour d'un module pour ajouter des fonctions diverses et que vous n'utilisez pas ce module, la mise à jour n'est pas obligatoire.
Les mises à jours sont très simples à réaliser, lorsqu'il y en a une, la démarche à suivre est toujours mentionnée donc ne vous inquiétez pas à ce niveau.
Tenez votre site à jour, c'est la première étape de la sécurisation de son site !
Il peut exister plusieurs types de mise à jour :
- correction d'une faille de sécurité
- correction d'un bug minime dans un logiciel
- ajout de nouveautés dans un module
- etc...
Par principe, l'équipe de PHPBoost vous conseillera toujours de réaliser les mises à jours, quel que soit son type.
Si vous ne les faites pas, il faudra assumer vos erreurs.
Bref si par exemple il existe une mise à jour faille de sécurité, il faudra ABSOLUMENT réaliser cette mise à jour. Par contre si cela est une mise à jour d'un module pour ajouter des fonctions diverses et que vous n'utilisez pas ce module, la mise à jour n'est pas obligatoire.
Les mises à jours sont très simples à réaliser, lorsqu'il y en a une, la démarche à suivre est toujours mentionnée donc ne vous inquiétez pas à ce niveau.
Tenez votre site à jour, c'est la première étape de la sécurisation de son site !
On ne donne pas des droits à n'importe qui et sans vraiment connaitre la personne. Bon nombre de webmasters recrutent rapidement du monde pour montrer que leur site est vivant, qu'il y a une équipe importante, etc... Mais tout le monde ne peut pas avoir accès à ces fonctions, car il existe des risques non négligeables. Citons les par exemple :
Bref comme vous pouvez le constater, ces droits ne se donnent pas à la légère, car les risques pour votre site ne sont pas négligeables. Ne donnez ces droits que si vous connaissez bien la personne et que vous avez une totale confiance en elle et que cette personne a vraiment besoin de ces droits !
- L'administrateur
- il a accès à tout
- Il a les droits sur tous les modules
- il a accès au panel d'administration
- ainsi via le panel de gestion de la base de donnée il peut entièrement effacer tout le contenu du site
- Le modérateur n'a pas accès au panneau de modération mais a souvent accès en écriture du contenu, il peut donc effacer une majorté des contenus selon ses autorisations.
Bref comme vous pouvez le constater, ces droits ne se donnent pas à la légère, car les risques pour votre site ne sont pas négligeables. Ne donnez ces droits que si vous connaissez bien la personne et que vous avez une totale confiance en elle et que cette personne a vraiment besoin de ces droits !
Register_globals est un mode de fonctionnement de PHP sur votre serveur.
manuelphp.com:
Il est préférable que cette option soit désactivée, mais normalement il n'y a pas de problèmes sur PHPBoost si il est active car toutes les variables sont initialisées et les variables générées par le register_globals sont supprimées.
NB : si dans le panneau d'administration de votre hébergeur vous ne pouvez pas modifier la configuration de register_global, il va falloir mettre dans le fichier .htaccess à la racine de votre site cette commande :
Code TXT :
manuelphp.com:
Elle définit si oui ou non les variables EGPCS (Environment, GET, POST, Cookie, Server) seront enregistrées comme des variables globales. Depuis PHP 4.2.0 , la valeur par défaut de cette directive est off.
Il est préférable que cette option soit désactivée, mais normalement il n'y a pas de problèmes sur PHPBoost si il est active car toutes les variables sont initialisées et les variables générées par le register_globals sont supprimées.
NB : si dans le panneau d'administration de votre hébergeur vous ne pouvez pas modifier la configuration de register_global, il va falloir mettre dans le fichier .htaccess à la racine de votre site cette commande :
Code TXT :
php_flag register_globals off
Les partenaires
Le projet PHPBoost
Contribuer au Projet
Support PHPBoost