Règles de sécurité à appliquer pour utiliser PHPBoost

Un des points clé de PHPBoost est la sécurité. L'ensemble du noyau est conçu pour sécuriser un maximum les données. Toutes les techniques connues concernant les attaques de sites web sont bloquées. Cependant nous ne sommes pas à l'abri d'une attaque qui peut être réussie si on fait face à quelqu'un de revanchard et compétent ; cela dit aucun système n'est sûr. PHPBoost a mis tous les éléments de son côté sur ce point là.



La sécurité des sites est un point important que beaucoup de personnes négligent car ne se rendent pas compte des conséquences que cela peut avoir...



Voyons ensemble ce que vous devez faire de votre côté pour avoir votre site le plus sécurisé possible.

A l'installation

Dans le pack de PHPBoost se trouve un répertoire ../install pour installer PHPBoost. A la fin de l'installation, il est important de bien supprimer ce répertoire, cela évite qu'une personne mal intentionnée connaissant vos identifiants relance l'installation et supprime toutes les données de votre site.



De plus utilisez des mots de passe sécurisés, ce que nous allons développer de suite.

Les mots de passe

Bien souvent les mots de passe des gens se limitent à 123456, azerty, leur prénom, leur nom, etc... Ceci est bien trop simple et peut facilement se deviner, les hackers ayant a leur disposition des scripts de recherche de mots de passes. Si votre mot de passe est un nom propre, une suite de chiffres, il sera très facilement décryptable.

Comment avoir un mot de passe sécurisé ?

Un mot de passe doit être le plus complexe possible ! Voici quelques règles importantes à respecter pour votre mot de passe :



* minimum de 8 caractères

* contient des chiffres, des majuscules, minuscules et caractères spéciaux

* il ne doit jamais être un mot qu'on trouve dans le dictionnaire d'aucune langue



Ex : QL8(DtU1;OrF1t



N'UTILISEZ JAMAIS LE MÊME MOT DE PASSE pour le les bases de données SQl, FTP, e-mail, interface d'administration du site web, etc... Beaucoup de personnes font cette erreur, hors si le pirate trouve votre mot de passe, il tentera ce mot de passe sur votre serveur ftp, base de données, etc. et donc il aura encore plus d'accès...

Pour votre mot de passe d'administrateur ou modérateur

Avec des droits qui peuvent être nuisibles en cas de piratage de comptes, il faut un mot de passe assez complexe, mais facile à retenir. Créez votre propre mot de passe et vous serez déjà un peu plus tranquille Pensez donc à indiquer aux personnes qui ont des responsabilités sur votre site de choisir un mot de passe le plus complexe possible.

Il est facile de faire des mots de passes complexes mais faciles à se souvenir. Prenez par exemple un mot, décomposez le et ajoutez des chiffres, majuscules et caractères spéciaux.



ex : Prenons par exemple le mot password. On va le décomposer en pass et word. Pour compliquer on met des majuscules : Pass Word. Ensuite on ajoute des chiffres 1Pass2Word3 et enfin pour vraiment compliquer ajoutons des caractères spéciaux pour obtenir : 1,Pass2;Word3:&

Les mots de passe pour les utilisateurs

Ils ne nécessitent pas le même soucis de complexité car les conséquences sont moindres, un minimum de 8 caractères est conseillé.

Liste non exhaustive de quelques utilitaires pour créer vos mots de passe :

http://www.generateurdemotdepasse.com/

http://www.freepasswordgenerator.com/

http://www.pctools.com/guides/password/

Register_globals : on ou off ?

Register_globals est une fonction PHP de votre serveur : elle définit si oui ou non les variables EGPCS (Environment, GET, POST, Cookie, Server) seront enregistrées comme des variables globales. Depuis PHP 4.2.0, la valeur par défaut de cette directive est off.' (source manuelphp.com)



Il faut le mettre à Off, mais normalement il n'y a pas de problèmes si il est à On.

Si il est activé sur PHPBoost ça ne sera pas grave car toutes les variables sont initialisées et les variables générées par le register_globals sont supprimées.



Si dans le panel d'administration de votre hébergeur vous ne pouvez pas modifier la configuration de register_global, il va falloir mettre dans le fichier .htaccess à la racine de votre site cette commande :

Code TEXT :

php_flag register_globals off  

Mettez vos site à jour

Un site à jour est la première et meilleure défense de votre site. Il est parfois étonnant de voir les webmasters réticents à mettre à jour leur site (peur de perdre ses données, trop dur, leur site est stable alors pourquoi changer ? etc.).



Il peut exister plusieurs types de mise à jour :

• Correction d'une faille de sécurité
• Correction d'un bug minime dans un logiciel
• Ajout de nouveautés dans un module
• etc.
  
  

S'il existe une mise à jour de faille de sécurité, il faudra ABSOLUMENT réaliser cette mise à jour.



Les mises à jours sont très simples à réaliser, lorsqu'il y en a une, la démarche à suivre est toujours mentionnée, pas d'inquiétude !



Gardez votre site constamment à jour

Sauvegardez régulièrement les données de votre site

La base de données

Il est important de sauvegarder régulièrement sa base de données afin de ne pas perdre ses données en cas de plantage de serveur ou de piratage.

PHPBoost contient un module pour la sauvegarde et la restauration de la base de données.



Consultez cet article pour en savoir plus.



Sauvegardez toujours votre base de données sur votre ordinateur.



Certains hébergeurs proposent de faire des sauvegardes de vos bases de données de manière périodique. Renseignez vous auprès de votre hébergeur.

Les données du FTP

Sauvegardez de temps en temps les données de votre FTP. Voici ce qu'il faut sauvegarder :

• /images
• /gallery/pics (si le module gallery est installé)
• /templates (si vous avez un thème personnalisé)
• /stats/cache (si le module stats est installé)
• /upload
• ET tous les répertoires que vous aurez créés pour y mettre des fichiers.
  
  

Administrateurs et modérateurs

On ne donne pas des droits à n'importe qui et sans vraiment connaitre la personne. Bon nombre de webmasters recrutent rapidement du monde pour montrer que leur site est vivant, qu'il y a une équipe importante, etc. Mais tout le monde ne peut pas avoir accès à ces fonctions, car il existe des risques non négligeables. Citons les par exemple :

• Le modérateur a accès en général selon les autorisations données
  
  
  • à la modération de tout le forum donc peut effacer autant de messages qu'il le souhaite
  • à la modération des articles, news, liens webs, téléchargements à partir de la version 2.1 de PHPBoost
    
    
• L'administrateur
  
  
  • il a accès à TOUT
  • Il a les droits sur tous les modules
  • il a accès au panel d'administration
  • ainsi via le panel de gestion de la base de données il peut entièrement effacer tout le contenu du site
    
    
  
  
  

Bref comme vous pouvez le constater, ces droits ne se donnent pas à la légère car les risques pour votre site ne sont pas négligeables.



Ne donnez ces droits que si vous connaissez bien la personne et que vous avez une totale confiance en elle et que cette personne a vraiment besoin de ces droits. Donnez le minimum d'accès administrateur car c'est le rang le plus dangereux !

Comment donner un accès FTP à une personne ?

Il peut parfois être nécessaire de donner un accès FTP à un tiers pour différentes raisons. Mais donner l'accès au FTP à une personne mal intentionnée peut avoir de graves conséquences pour votre site. Il peut par exemple :

• insérer un code source malicieux
• effacer des fichiers ou tout le contenu de votre FTP
• S'approprier du fichier config.php et ainsi accéder à votre base de données
• etc.
  
  

Mais alors vous allez me dire qu'il ne faut pas donner d'accès FTP ?



Bien sur que oui que vous pouvez donner un accès FTP à quelqu'un, mais ne lui donnez pas l'accès à TOUT le FTP, réservez lui un accès à un répertoire par exemple. Pour créer un compte FTP à un membre et lui définir un espace bien particulier, il faudra vous rendre dans le panel d'administration de votre hébergeur.

Méfiez vous des connexions automatiques...

Ces consignes s'adressent à tout le monde et surtout pour les administrateurs et les modérateurs chez qui leur connexion à leur site par un intrus peut engendrer de graves conséquences puisque la personne aura accès au panel d'administration et à la base de données. Cela doit être un réflexe chez tout le monde. Tout d'abord il y a 2 risques

• Votre session reste ouverte et ainsi quelqu'un peut utiliser votre compte pour effectuer des manipulations pouvant être grave pour votre site
• Les navigateurs proposent d'enregistrer automatiquement vos mots de passe et ainsi vous avez déjà le pseudo et le mot de passe de mis dans les champs pour se connecter
  
  

Si vous êtes sur votre ordinateur personnel et que vous êtes le seul utilisateur, les risques sont moindres.



Si vous êtes sur un ordinateur public, les risques sont beaucoup plus graves. Dans ce cas lorsque vous quittez l'ordinateur :

• Déconnectez vous de votre session en cours
• Allez dans les paramètres du navigateur et effacez les cookies, le cache, les mots de passe enregistrés et les sessions d'identification.
  
  

Conclusion

Même si tout est étudié pour éviter toute faille de sécurité, PHPBoost est comme tout CMS non garanti à 100%.

Le plus souvent les problèmes rencontrés par les utilisateurs ne proviennent pas d'une faille de PHPboost mais d'eux même.



Il est important de respecter les consignes données ci-dessus pour sécuriser correctement votre site