Astuces ⇒ PHP facebook twitter youtube

News

Supprimer les logiciels espions et malveillants de son ordinateur


Supprimer les logiciels espions et malveillants de son ordinateur

Ill arrive que des logiciels espions (spywares), malveillants (malwares) ou publicitaires (adwares) arrivent à pénétrer votre système. Les conséquences ? Des pop-up publicitaires qui s’affichent aléatoirement, des programmes qui lisent le contenu de votre ...

2015-08-13

Les nouveautés de Windows 10


Les nouveautés de Windows 10

Windows 10 qui sera proposé sur un ensemble d’appareils (smartphones, tablettes, ordinateurs). Le lancement est prévu pour cette année. ...

2015-02-16

Les différent virus


Les différent virus

Les différent virus informatique ...

2015-02-04


Foire aux questions

Protéger un  site web | Protéger un site web


Sécuriser et protéger son site web des attaques des pirates et hackers

Comment éviter que votre site ne soit utilisé par un pirate pour qu'il envoie ses spams à partir de votre compte ? Comment éviter le "defacing", c'est-à-dire l'effacement de votre site web et son remplacement par un autre, ou une page avec un slogan anti-occidental ? Comment éviter certains trous de sécurité?

Les serveurs en mutualisé de votre hébergeur devraient être relativement sécurisés et disposer d'outils qui lui permettent de bloquer certains comportements suspects. Cette action a posteriori bloque votre compte. Il est donc préférable de prévenir ce type de piratage. En tant que client et utilisateur, nous devons éviter la suspension de notre compte si nous sommes la victime d'une attaque.

Voici donc quelques conseils. C'est l'accumulation de ces trucs et astuces qui sécurisera votre site, car il n'y a pas de solution unique; les pirates utilisent plusieurs moyens différents.


Qui sont les pirates ?

Les premiers sont des "skiddy", des jeunes ("kid" en anglais, "kiddy" pour petit jeune) qui utilisent des scripts prêts à l'emploi (le "s" de skiddy) qu'on trouve facilement sur le web pour exploiter les failles d'un blog, forum, cms, gallery, wiki, etc. Ils ne font qu'utiliser ces scripts comme on utilise un logiciel. Ce ne sont pas des "petits génies". Ils se lancent des défis à celui qui effacera le plus de sites web. Les autres sont des pirates au service d'une mafia afin de transformer votre site web et une faille de votre blog, forum, cms, gallery, wiki en plateforme d'envoi de spams. Ceux-là créent leurs propres scripts qu'ils ne partagent pas avec une communauté. Ils font cela pour de l'argent; les mafieux les payent en fonction du nombre de sites web piratés et d'ordinateurs personnels dont ils ont pris le contrôle à l'insu du malheureux propriétaire (c'est-à-dire votre PC et chez vous en profitant de votre connexion à internet en programmant un malware).


Pourquoi attaquent-ils votre site ?

Ni le skiddy, ni le mafieux ne vous visent personnellement. Les uns le font pour le jeu, les autres pour l'argent. Il est peu probable qu'on vous vise pour des raisons politiques. Certains skiddies effacent des sites et se cachent derrière des pseudo slogans anti-occidentaux, histoire de vous faire peur et de se prendre au sérieux. Il n'en est rien.


Comment savent-ils que mon site a une faille de sécurité ?

Réponse: Google ! Il cherche un fichier précis comme login.php, confip.php, ou autres, et, combiné avec quelques mots-clés, ils savent quel blog, forum, cms, gallery, wiki vous utilisez, et essaieront de lancer un script pour tester si l'attaque fonctionne. Il ne font pas ça manuellement, ils ont des logiciels qui le font automatiquement !! Leurs logiciels testent chaque URL listée par Google à la recherche de la faille. C'est aussi simple que ça. Ils vous trouvent par hasard.

Donc, nous allons essayer de nous prémunir contre ces attaques automatiques. Ces conseils ne concernent que les sites web utilisant un blog, forum, cms, gallery, wiki, etc. programmés par des LES RÈGLES LES PLUS IMPORTANTES:

Comme ce tutoriel est long, voici les règles qu'il faut appliquer en priorité. Vous pourrez inclure les autres plus tard:

1- Attribuer par FTP aux fichiers les droits chmod 404 et aux dossiers les droits chmod 505.

2- Règles de filtrage par htaccess. Permet d'arrêter de nombreuses attaques avant de toucher votre site web. Voir l'article ici.

3- Règles de sauvegarde et de restauration de votre site web. Êtes-vous capable d'effacer complètement votre site web pour supprimer toutes les traces du pirate et de tout réactiver en 30 minutes?

4- Si vous programmez en PHP, des règles simples de filtrages sont ici. Même chose pour l'injection SQL. Ne soyez pas irresponsable, pensez à filtrer tout ce qui entre dans votre script. Les droits d'écriture, de lecture et d'exécution.


-= INDISPENSABLE =-

Plus d'infos ici: Description du CHMOD et de la signification des numéros.

Attention, ces règles peuvent fonctionner pour certains hébergeurs et pas chez d'autres. Faites un petit essai, cela en vaut vraiment la peine.

On a l'habitude de dire qu'on doit attribuer par FTP les droits 644 à un fichier et 755 à un dossier.
En fait, certains hébergeurs (mais pas tous) ne semblent pas utiliser de groupe. Donc, on pourrait très bien utiliser les droits 604 pour un fichier et 705 pour un dossier. Si un pirate pénètre le système avec un droit de groupe, il n'aura accès à rien, ni en lecture ni en écriture.

On peut aller plus loin. Protégeons les parties sensibles de votre blog, forum, cms, gallery, wiki, comme le fichier config.php et .htaccess en lui donnant les droits 404 (ou 444). Personne ne pourra le modifier, même pas vous (c'est faux dans l'absolu si votre site a un gros trou de sécurité, mais imparable contre une attaque automatique). Vous ne pourrez le faire que par FTP quand vous aurez vraiment besoin de le modifier.


Voilà comment je protège mon site:

- Tous les fichiers ont les droits 404 (ou 444)
- Tous les dossiers ont les droits 505 (ou 555).
- Si un fichier ou un dossier nécessitent des droits d'écriture par le serveur mettez 604 pour le fichier et 705 pour le dossier. Inutile de faire le fameux 777 (tous les droits à tout le monde) qui est un danger public, une provocation au piratage, car vous annoncez que votre maison est grande ouverte, sans porte ni fenêtre, tout le monde peut se servir.
- Les fichiers config et htaccess ont des droits 404 (ou 444)
- Le dossier "www" ou "public_html" doit être en chmod 705 ou 755 selon votre hébergeur, ne le changez jamais.

Avantage:
personne ne peut modifier vos fichiers.

Inconvénient:
il faut changer les droits en écriture (644 et 755) si vous faites une mise à jour de votre blog, forum, cms, gallery, wiki et remettre les bons droits 404 (ou 444) et 505 (ou 555) après. Cela prend 10 min., mais ça vaut la peine.


Pourquoi est-ce si important:

le pirate essaye d'installer un fichier sur votre site afin d'en prendre le contrôle (pour effacer le site, y placer un script qui envoie du spam, etc.). Il cherche des trous de sécurité pour pouvoir uploader son fichier de prise de contrôle. Si votre site a un trou de sécurité, le pirate l'exploitera, mais comme votre site web n'a que des dossiers et fichiers interdits en écriture, il ne pourra rien uploader. Son attaque ne marchera pas.



Réponse: Google ! Il cherche un fichier précis comme login.php, confip.php, ou autres, et, combiné avec quelques mots-clés, ils savent quel blog, forum, cms, gallery, wiki vous utilisez, et essaieront de lancer un script pour tester si l'attaque fonctionn

Voir Plus

les règles qu'il faut appliquer en priorité. Vous pourrez inclure les autres plus tard:

Voir Plus

Créez le fichier .htaccess avec un logiciel de texte simple (tout sauf Word). Appelez-le "txt.htaccess", envoyez-le par FTP dans votre dossier www et renommez-le en ".htaccess". Puis donnez-lui par FTP les droits 404 ou 444. Il ne sera pas modifiable.Voic

Voir Plus

Voici quelques conseils pour éviter que cette forme d'attaque de type injection SQL soit possible. Il y a plusieurs formes d'injections SQL. La règle 8 du .htaccess en arrête une autre forme. Sinon, la vraie protection contre les injections SQL est une bo

Voir Plus

Pour éviter que les robots des pirates ne vous trouvent grâce à Google, changez certaines habitudes et notamment le nom et l'URL de certains fichiers.

Voir Plus

On peut essayer de pénétrer votre hébergement en devinant votre mot de passe FTP ou SQL. Si vous changez les mots de passe, respectez les règles suivantes:

Voir Plus

Cryptant ces données sensibles. Le serveur web pourra lire ces informations facilement, mais elles ne seront pas lisibles directement par un œil humain. Pour un expert en PHP, cette protection ne dure que 2 minutes.

Voir Plus

Si vous n'avez pas d'autre choix que d'afficher une adresse e-mail sur votre site web, vous avez 2 solutions:

Voir Plus

Plus en rapport avec le spam qu'avec le piratage, les adresses e-mails qui ont les préfixes les plus courants sont spammées automatiquement (car ils ont plus de chances d'exister). Donc, évitez de créer des adresses avec les noms suivants:

Voir Plus

La protection par mot de passe Apache en utilisant un fichier .htacces et un fichier .htpasswd est très efficace. Il existe plusieurs guides expliquant comment faire

Voir Plus

On utilise ce fichier pour interdire à un moteur de recherche d'indexer un dossier ou un fichier.

Voir Plus

il existe le piratage du fichier style.css où le pirate avait modifié ce fichier pour afficher un pop-up. Protégez aussi par FTP le fichier "index.php" avec les droits 404 ou 444,

Voir Plus

On utilisez un petit script en PHP qui traite les données d'un formulaire ou d'une variable dans une URL comme "/?page=23&id=categorie" (donc utilisation des requêtes GET ou POST), il faut filtrer ces données pour éviter toute faille.

Voir Plus

Cette attaque vise les serveurs web en cherchant les erreurs de programmation des scripts ASP, CGI et PHP, ces mêmes scripts exécutant des requêtes SQL.

Voir Plus

Si vous avez été victime d'un piratage, il vous permettra de savoir quels fichiers ont été ajoutés et ceux qui ont été modifiés par le pirate avec la date et l'heure. Ainsi, en comparant la date de ces fichiers modifiés aux logs, vous saurez si la modific

Voir Plus

Proteger votre dossier sans .htacces ni rien dautre seulement avec un seul fichier php qui fera tout dans ce fichier : donc vous avez juste a changer vaux identifiant

Voir Plus




>
Changer le fond
Oregionale Skin
7astuces
Sélectionnez un Fond (11)
7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces
Fond de contenu
7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces 7astuces