La sécurité des sites est un point important que beaucoup de personnes négligent car ne se rendent pas compte des conséquences que cela peut avoir...
Voyons ensemble ce que vous devez faire de votre côté pour avoir votre site le plus sécurisé possible.
A l'installation
Dans le pack de PHPBoost se trouve un répertoire ../install pour installer PHPBoost. A la fin de l'installation, il est important de bien supprimer ce répertoire, cela évite qu'une personne mal intentionnée connaissant vos identifiants relance l'installation et supprime toutes les données de votre site.
De plus utilisez des mots de passe sécurisés, ce que nous allons développer de suite.
Les mots de passe
Bien souvent les mots de passe des gens se limitent à 123456, azerty, leur prénom, leur nom, etc... Ceci est bien trop simple et peut facilement se deviner, les hackers ayant a leur disposition des scripts de recherche de mots de passes. Si votre mot de passe est un nom propre, une suite de chiffres, il sera très facilement décryptable.
Comment avoir un mot de passe sécurisé ?
Un mot de passe doit être le plus complexe possible ! Voici quelques règles importantes à respecter pour votre mot de passe :
* minimum de 8 caractères
* contient des chiffres, des majuscules, minuscules et caractères spéciaux
* il ne doit jamais être un mot qu'on trouve dans le dictionnaire d'aucune langue
Ex : QL8(DtU1;OrF1t
Pour votre mot de passe d'administrateur ou modérateur
Avec des droits qui peuvent être nuisibles en cas de piratage de comptes, il faut un mot de passe assez complexe, mais facile à retenir. Créez votre propre mot de passe et vous serez déjà un peu plus tranquille
Pensez donc à indiquer aux personnes qui ont des responsabilités sur votre site de choisir un mot de passe le plus complexe possible.Il est facile de faire des mots de passes complexes mais faciles à se souvenir. Prenez par exemple un mot, décomposez le et ajoutez des chiffres, majuscules et caractères spéciaux.
ex : Prenons par exemple le mot password. On va le décomposer en pass et word. Pour compliquer on met des majuscules : Pass Word. Ensuite on ajoute des chiffres 1Pass2Word3 et enfin pour vraiment compliquer ajoutons des caractères spéciaux pour obtenir : 1,Pass2;Word3:&
Les mots de passe pour les utilisateurs
Ils ne nécessitent pas le même soucis de complexité car les conséquences sont moindres, un minimum de 8 caractères est conseillé.
Liste non exhaustive de quelques utilitaires pour créer vos mots de passe :
http://www.generateurdemotdepasse.com/
http://www.freepasswordgenerator.com/
http://www.pctools.com/guides/password/
Register_globals : on ou off ?
Register_globals est une fonction PHP de votre serveur : elle définit si oui ou non les variables EGPCS (Environment, GET, POST, Cookie, Server) seront enregistrées comme des variables globales. Depuis PHP 4.2.0, la valeur par défaut de cette directive est off.' (source manuelphp.com)
Il faut le mettre à Off, mais normalement il n'y a pas de problèmes si il est à On.
Si il est activé sur PHPBoost ça ne sera pas grave car toutes les variables sont initialisées et les variables générées par le register_globals sont supprimées.
Mettez vos site à jour
Un site à jour est la première et meilleure défense de votre site. Il est parfois étonnant de voir les webmasters réticents à mettre à jour leur site (peur de perdre ses données, trop dur, leur site est stable alors pourquoi changer ? etc.).
Il peut exister plusieurs types de mise à jour :
- Correction d'une faille de sécurité
- Correction d'un bug minime dans un logiciel
- Ajout de nouveautés dans un module
- etc.
S'il existe une mise à jour de faille de sécurité, il faudra ABSOLUMENT réaliser cette mise à jour.
Les mises à jours sont très simples à réaliser, lorsqu'il y en a une, la démarche à suivre est toujours mentionnée, pas d'inquiétude !
Sauvegardez régulièrement les données de votre site
La base de données
Il est important de sauvegarder régulièrement sa base de données afin de ne pas perdre ses données en cas de plantage de serveur ou de piratage.
PHPBoost contient un module pour la sauvegarde et la restauration de la base de données.
Consultez cet article pour en savoir plus.
Les données du FTP
Sauvegardez de temps en temps les données de votre FTP. Voici ce qu'il faut sauvegarder :
- /images
- /gallery/pics (si le module gallery est installé)
- /templates (si vous avez un thème personnalisé)
- /stats/cache (si le module stats est installé)
- /upload
- ET tous les répertoires que vous aurez créés pour y mettre des fichiers.
Administrateurs et modérateurs
On ne donne pas des droits à n'importe qui et sans vraiment connaitre la personne. Bon nombre de webmasters recrutent rapidement du monde pour montrer que leur site est vivant, qu'il y a une équipe importante, etc. Mais tout le monde ne peut pas avoir accès à ces fonctions, car il existe des risques non négligeables. Citons les par exemple :
- Le modérateur a accès en général selon les autorisations données
- à la modération de tout le forum donc peut effacer autant de messages qu'il le souhaite
- à la modération des articles, news, liens webs, téléchargements à partir de la version 2.1 de PHPBoost
- L'administrateur
- il a accès à TOUT
- Il a les droits sur tous les modules
- il a accès au panel d'administration
- ainsi via le panel de gestion de la base de données il peut entièrement effacer tout le contenu du site
Bref comme vous pouvez le constater, ces droits ne se donnent pas à la légère car les risques pour votre site ne sont pas négligeables.
Comment donner un accès FTP à une personne ?
Il peut parfois être nécessaire de donner un accès FTP à un tiers pour différentes raisons. Mais donner l'accès au FTP à une personne mal intentionnée peut avoir de graves conséquences pour votre site. Il peut par exemple :
- insérer un code source malicieux
- effacer des fichiers ou tout le contenu de votre FTP
- S'approprier du fichier config.php et ainsi accéder à votre base de données
- etc.
Mais alors vous allez me dire qu'il ne faut pas donner d'accès FTP ?
Bien sur que oui que vous pouvez donner un accès FTP à quelqu'un, mais ne lui donnez pas l'accès à TOUT le FTP, réservez lui un accès à un répertoire par exemple. Pour créer un compte FTP à un membre et lui définir un espace bien particulier, il faudra vous rendre dans le panel d'administration de votre hébergeur.
Méfiez vous des connexions automatiques...
Ces consignes s'adressent à tout le monde et surtout pour les administrateurs et les modérateurs chez qui leur connexion à leur site par un intrus peut engendrer de graves conséquences puisque la personne aura accès au panel d'administration et à la base de données. Cela doit être un réflexe chez tout le monde. Tout d'abord il y a 2 risques
- Votre session reste ouverte et ainsi quelqu'un peut utiliser votre compte pour effectuer des manipulations pouvant être grave pour votre site
- Les navigateurs proposent d'enregistrer automatiquement vos mots de passe et ainsi vous avez déjà le pseudo et le mot de passe de mis dans les champs pour se connecter
Si vous êtes sur votre ordinateur personnel et que vous êtes le seul utilisateur, les risques sont moindres.
Conclusion
Même si tout est étudié pour éviter toute faille de sécurité, PHPBoost est comme tout CMS non garanti à 100%.
Le plus souvent les problèmes rencontrés par les utilisateurs ne proviennent pas d'une faille de PHPboost mais d'eux même.