Astuces ⇒ PHP facebook twitter youtube

Protéger un  site web ⇒ & Les régles les plus importantes



 

Comme cette aestuce est long, voici les règles qu'il faut appliquer en priorité. Vous pourrez inclure les autres plus tard:

1- Attribuer par FTP aux fichiers les droits chmod 404 et aux dossiers les droits chmod 505.

2- Règles de filtrage par htaccess. Permet d'arrêter de nombreuses attaques avant de toucher votre site web.voir l'article ici

Si vous trouvez les éléments décrits ci-dessous, votre Blog, CMS, Wiki, gallery a été piraté par des professionnels payés pour cela, non par des gamins qui s'amusent à effacer des sites en mettant leurs pseudos à la place.

Connectez-vous à votre phpMyadmin.

Une fois identifié, dans la colonne de gauche en haut, cliquez sur le nom de votre base, puis dans la fenêtre principale, en haut cliquez sur l'onglet Recherche.
Puis entrez l'une des 3 phrases:
%display:none%
%height:0%
%visibility:hidden%

Si vous trouvez des entrées dans les textes de vos pages ou les commentaires contenant "display:none" ou "height:0" ou "visibility:hidden", alors vous avez été piraté. Ces liens web vers les sites des pirates sont invisibles mais bien présents dans le code et visibles par les robots indexeurs. Effacez ces liens, changez vos mot de passe, mettez à jour votre logiciel et suivez les conseils dans cet article.

J'ajoute que Technorati est en train de déréférencer les blogs victimes de ce piratage aux liens invisibles.



3- Règles de sauvegarde et de restauration de votre site web. Êtes-vous capable d'effacer complètement votre site web pour supprimer toutes les traces du pirate et de tout réactiver en 30 minutes?

4- Si vous programmez en PHP, des règles simples de filtrages . Même chose pour l'injection SQL. Ne soyez pas irresponsable, pensez à filtrer tout ce qui entre dans votre script. Les droits d'écriture, de lecture et d'exécution.


-= INDISPENSABLE =-

Plus d'infos ici: Description du CHMOD et de la signification des numéros.

Attention, ces règles peuvent fonctionner pour certains hébergeurs et pas chez d'autres. Faites un petit essai, cela en vaut vraiment la peine.

On a l'habitude de dire qu'on doit attribuer par FTP les droits 644 à un fichier et 755 à un dossier.
En fait, certains hébergeurs (mais pas tous) ne semblent pas utiliser de groupe. Donc, on pourrait très bien utiliser les droits 604 pour un fichier et 705 pour un dossier. Si un pirate pénètre le système avec un droit de groupe, il n'aura accès à rien, ni en lecture ni en écriture.

On peut aller plus loin. Protégeons les parties sensibles de votre blog, forum, cms, gallery, wiki, comme le fichier config.php et .htaccess en lui donnant les droits 404 (ou 444). Personne ne pourra le modifier, même pas vous (c'est faux dans l'absolu si votre site a un gros trou de sécurité, mais imparable contre une attaque automatique). Vous ne pourrez le faire que par FTP quand vous aurez vraiment besoin de le modifier.

 

Voilà comment je protège mon site:

  1. - Tous les fichiers ont les droits 404 (ou 444)
  2. - Tous les dossiers ont les droits 505 (ou 555).
  3. - Si un fichier ou un dossier nécessitent des droits d'écriture par le serveur mettez 604 pour le fichier et 705 pour le dossier. Inutile de faire le fameux 777 (tous les droits à tout le monde) qui est un danger public, une provocation au piratage, car vous annoncez que votre maison est grande ouverte, sans porte ni fenêtre, tout le monde peut se servir.
  4. - Les fichiers config et htaccess ont des droits 404 (ou 444)
  5. - Le dossier "www" ou "public_html" doit être en chmod 705 ou 755 selon votre hébergeur, ne le changez jamais.
     

Avantage:
personne ne peut modifier vos fichiers.

Inconvénient:
il faut changer les droits en écriture (644 et 755) si vous faites une mise à jour de votre blog, forum, cms, gallery, wiki et remettre les bons droits 404 (ou 444) et 505 (ou 555) après. Cela prend 10 min., mais ça vaut la peine.


Pourquoi est-ce si important:

le pirate essaye d'installer un fichier sur votre site afin d'en prendre le contrôle (pour effacer le site, y placer un script qui envoie du spam, etc.). Il cherche des trous de sécurité pour pouvoir uploader son fichier de prise de contrôle. Si votre site a un trou de sécurité, le pirate l'exploitera, mais comme votre site web n'a que des dossiers et fichiers interdits en écriture, il ne pourra rien uploader. Son attaque ne marchera pas.

 


Changer le fond
Oregionale Skin
7astuces
Sélectionnez un Fond (11)
7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces
Fond de contenu
7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces