FAQ

Sécuriser son site

Un des points clé de PHPBoost est la sécurité.
L'ensemble du noyau est conçu pour sécuriser au maximum les données. Toutes les techniques connues concernant les attaques de sites web sont bloquées. Cependant nous ne sommes pas à l'abri d'une attaque qui peut être réussie si on fait face à quelqu'un de revanchard et compétent, comme pour n'importe quel système.
Le risque 0 n'existe pas, mais sur PHPBoost il a été réduit au maximum. La sécurité est l'argument prioritaire lors du développement.

Seulement, vous avez beau avoir l'application la plus sûre du monde, il y a des erreurs de votre part que l'application ne peut pas bloquer, surtout concernant la fuite de mots de passes ou le fait de faire confiance à des gens alors qu'on ne les connaît pas...
Comme on dit, rien ne sert d'avoir une porte blindée si vous laissez la fenêtre ouverte. Voici donc quelques petits conseils qu'il est fort recommandé de suivre, si vous les respectez vous mettez toutes les chances de votre côté pour éviter les attaques.

FAQ Sécurité révisée en décembre 2022 par Mipel sur la base de la V 5.2

Comment choisir son mot de passe ?
Bien souvent les mots de passe des gens se limitent à 123456, azerty, leur prénom, leur nom, etc. Ceci est bien trop simple et peut facilement se deviner.

Comment avoir un mot de passe sécurisé ?



Un mot de passe doit être le plus complexe possible ! Voici quelques règles importantes à respecter pour votre mot de passe :
  • minimum de 8 caractères
  • doit contenir des chiffres, des majuscules, minuscules (et caractères spéciaux si supporté)
  • il ne doit jamais être un mot qu'on trouve dans le dictionnaire d'aucune langue
Ex : QL8(DtU1;OrF1t

N'UTILISEZ JAMAIS LE MÊME MOT DE PASSE pour les bases de données SQL, FTP, e-mail, interface d'administration du site web, etc.

Beaucoup de personnes font cette erreur, hors si un pirate trouve votre mot de passe, il tentera de l'utiliser sur votre serveur ftp, votre base de données, etc. et il aura donc encore plus d'accès...

Pour votre mot de passe d'administrateur ou modérateur


Avec des droits qui peuvent être nuisibles en cas de piratage de comptes, il faut un mot de passe assez complexe, mais facile à retenir. Créez votre propre mot de passe et vous serez déjà un peu plus tranquille :wink
Pensez donc à indiquer aux personnes qui ont des responsabilités sur votre site de choisir un mot de passe le plus complexe possible.
Il est simple de faire des mots de passes complexes mais faciles à retenir. Prenez par exemple un mot, décomposez le et ajoutez des chiffres, majuscules et caractères spéciaux.

Exemple: Prenons le mot password. On va le décomposer en pass et word. Pour compliquer on met des majuscules : Pass Word. Ensuite on ajoute des chiffres 1Pass2Word3 et enfin pour vraiment compliquer ajoutons des caractères spéciaux pour obtenir : 1,Pass2;Word3:&

Les mots de passe pour les utilisateurs


Ils ne nécessitent pas le même niveau de complexité car les conséquences sont moindres, un minimum de 8 caractères est toutefois conseillé.

Liste non exhaustive de quelques utilitaires pour créer vos mots de passe :



Un mot de passe aussi complexe soit-il doit être changé régulièrement.
Quand faut il se déconnecter de sa session ?
Ces consignes s'adressent à tout le monde et en particulier aux administrateurs et modérateurs pour qui la connexion frauduleuse sur leur site par un intrus peut engendrer de graves conséquences puisque la personne aura accès au Panneau d'administration et à la base de données.
Se déconnecter en quittant une application doit être un réflexe pour tout le monde. Tout d'abord il y a 2 risques :

  • Votre session reste ouverte et quelqu'un peut utiliser votre compte pour effectuer des manipulation pouvant être néfastes pour votre site
  • Les navigateurs proposent d'enregistrer automatiquement vos identifiants de connexion et ainsi le pseudo et le mot de passe sont déjà saisis pour accéder au site

Si vous êtes sur votre ordinateur personnel et que vous êtes le seul utilisateur, les risques sont moindres.

Par contre si vous utilisez un ordinateur public, les risques sont beaucoup plus graves. Dans ce cas lorsque vous quittez l'ordinateur :
  • Déconnectez vous de votre session en cours
  • Allez dans les paramètres du navigateur et effacez les cookies, le cache, les mots de passe enregistrés et les sessions d'identification.

La sécurité des sites est un point important que beaucoup de personnes négligent car elles ne se rendent pas compte des conséquences que cela peut avoir...
Pourquoi supprimer le répertoire install ?
Dans le pack de PHPBoost se trouve un répertoire install/ indispensable à la mise en place de PHPBoost.
A la fin de l'installation, il est important de bien supprimer ce répertoire. Cela évitera qu'une personne mal intentionnée relance l'installation et supprime toutes les données de votre site.

Il en est de même pour le répertoire update/ présent lors d'une mise à jour de PHPBoost.
Comment donner un accès FTP à une personne ?
Il peut parfois être nécessaire de donner un accès FTP à un tiers pour différentes raisons. Mais donner l'accès au FTP à une personne mal intentionnée peut avoir de graves conséquences pour votre site.
Il peut par exemple :
  • Insérer un code source malicieux
  • Effacer des fichiers ou tout le contenu de votre FTP
  • S'approprier le fichier config.php, et ainsi accéder à votre base de données
  • etc.

Mais alors vous allez dire qu'il ne faut pas donner d'accès FTP ?

Bien sûr que vous pouvez donner un accès FTP à quelqu'un, mais ne lui donnez pas l'accès à TOUT le serveur, réservez lui un accès à un répertoire spécifique par exemple.
Pour créer un compte FTP à un membre et lui définir un espace bien particulier, il faudra vous rendre dans le panel d'administration de votre hébergeur (les hébergeurs gratuits et payants bas de gamme ne proposent souvent pas cette fonction).
PHPBoost propose une mise à jour, mon site sera vulnérable si je ne la fais pas ?
Un site à jour est la première et meilleure défense de votre site. Il est parfois étonnant de voir les webmasters réticents à effectuer les mise à jour (peur de perdre ses données, trop dur, leur site est stable alors pourquoi changer ? etc.).

Il peut exister plusieurs types de mise à jour :
  • correction d'une faille de sécurité
  • correction d'un bug minime dans un logiciel
  • ajout de nouveautés dans un module
  • etc.

Par principe, l'équipe de PHPBoost vous conseillera toujours de réaliser les mises à jours, quel qu'en soit le contenu.
Si vous ne les faites pas, il vous faudra assumer vos erreurs.

Si par exemple une mise à jour de faille de sécurité est proposée, il faudra ABSOLUMENT l'effectuer. Par contre, si c'est une mise à jour de module ou de thème et que vous ne les utilisez pas, la mise à jour n'est pas obligatoire.

Les mises à jours sont très simples à réaliser et, lorsqu'il y en a une, la démarche à suivre est toujours mentionnée. Donc ne vous inquiétez pas à ce niveau.

Tenez régulièrement votre site à jour, c'est la première étape pour en garantir la sécurisation !
A qui donner des droits de modération / administration ?
On ne donne pas des droits à n'importe qui et sans vraiment connaître la personne. Bon nombre de webmasters recrutent rapidement du monde pour montrer que leur site est vivant, qu'il y a une équipe importante, etc.
Mais tout le monde ne peut pas avoir accès à ces fonctions car il existe des risques non négligeables. Citons par exemple :

  • L'administrateur
    • il a accès à tout
    • Il a les droits sur tous les modules
    • il a accès au panel d'administration
    • ainsi via le panel de gestion de la base de données il peut entièrement effacer tout le contenu du site
  • Le modérateur n'a pas accès au panneau d'administration mais a souvent accès en écriture au contenu, il peut donc effacer une majorité des contenus selon ses autorisations.

Bref comme vous pouvez le constater, ces droits ne se donnent pas à la légère, car les risques pour votre site ne sont pas négligeables.

Ne donnez ces droits que si vous connaissez bien la personne et que vous avez une totale confiance en elle, en vous assurant qu'elle en a vraiment besoin !