La toile est peupl?e de personnes malveillantes qui prennent plaisir ? sacager le travail des autres. Aussi est-il important de proteger au maximum les sites que l'on met en ligne. Le probl?me avec des sites aussi r?pandu que le phpbb, c'est que les personnes malveillantes connaissent tr?s bien leur fonctionnement et rep?rent facilement les failles. Voici quelques conseils et manipulations afin d'augmenter la s?curit? d'un site/forum phpbb

Indexation des r?pertoires
Par d?faut, le contenu d'un r?pertoire est visible par tous s'il ne contient pas au moins un fichier index.htm(l). Ce fichier emp?che simplement qu'un visiteur puisse visualiser le contenu d'un r?pertoire. Si vous avez ajout? des r?pertoires dans votre forum, contenant des images ou autres fichiers, pensez ? ajouter un fichier index.html ? l'interieur. Une page blanche suffira ? empecher les visiteurs de voir le contenu de vos repertoires.

Identifiants et mots de passe
Pour que la s?curit? de votre forum soit vraiment efficace, il faut avant toute chose bien choisir vos mots de passe. Pr?f?rez des mots de passe assez longs compos?s d'une succession al?atoire de chiffres et de lettres. Evitez les dates de naissances, les plaques d'immatriculation ou les chiffres f?tiches. Si vous voulez les noter, comme pense-b?te, ne le faites que dans un endroit s?r de votre PC, ou sur un support autre qu'informatique. Deuxi?me point important, et cela concerne la plupart du temps les ?quipes administratives d'un forum, ne laissez aucune trace d'identifiants et de mots de passe dans les sections priv?es d'un forum ou dans un message priv?. Si une personne malveillante r?cup?re un rang d'administrateur, elle pourrait avoir acc?s facilement ? ces donn?es. Si vous devez passer ces informations ? une autre personne, fa?tes le d'une mani?re ind?pendante au forum.

Les dossiers inutiles et dangereux sur le FTP
Juste apr?s l'installation de votre forum, on vous demande de supprimer les dossiers install et contrib ? la racine de votre forum. Profitez-en pour ?galement supprimer le dossier docs et son contenu (inutile).
Supprimez ensuite les fichiers qui ne correspondent pas ? votre type de base de donn?es dans le dossier db. Pour MySQL par exemple, vous laissez seulement les fichiers db2.php, mysql.php, mysql4.php (pour MySQL 4.x), et index.htm

L'astuce avec le fichier config.php
Le fichier config.php est le fichier le plus dangereux. Si une personne malveillante parvient ? y avoir acc?s, votre site/forum est en grand danger puisqu'il contient le login et le mot de passe de votre base de donn?es. Comme je l'ai dit pr?cedement, le phpbb est tr?s r?pandu et donc les personnes malveillantes connaissent tr?s bien son fonctionnement. Donc le fichier config.php est une de leur cible favorites. Voici une parade: Le fichier se trouve par d?faut ? la racine de votre forum. Pour plus de s?curit?, nous allons le d?placer dans un nouveau r?pertoire. Pour cela, cr?ez un r?pertoire ? la racine de votre forum et appelez-le comme vous voulez (pas de majuscules ni d'espaces). Dans mon exemple, je le nommerais gaylife. Cette op?ration effectu?e, ajoutez dans le r?pertoire nouvellement cr?e un fichier .htaccess contenant uniquement Deny from all (sans retour ? la ligne). Pour finir, d?placez le fichier config.php dans le nouveau r?pertoire (n'oubliez pas de supprimer le fichier config.php ? la racine du forum). Cependant le site/forum ne fonctionne plus car il ne trouve plus la base de donn?es, il faut modifier un autre fichier pour que la modification soit prise en compte. Editez avec le bloc-note (ou wordpad ou n'importe quel programme d'?dition de texte), le fichier common.php situ? ? la racine du forum et faites:

le r?pertoire gaylife est ? changer par le nom que vous avez donn? ? votre nouveau r?pertoire contenant le fichier config.php.
Enregistrez le fichier common.php.




Ces quelques conseils et manipulations permettent d'augmenter la s?curit?, en aucun cas cela est infaillible

Astuce suppl?mentaire

Vous pouvez mettre un leurre ?? la place du fichier config.php ?? la racine de votre forum, celui-ci contenant de mauvaises informations pour les variables $dbname, $dbuser, $dbpasswd et $table_prefix.

bon tuto.....

yep merci, ils y a d'autres astuces sur des points sensibles comme le r?pertoire admin avec la cr?ation d'un sys?me HTaccess compos? de deux fichiers nomm?s .htaccess et .htpasswd, mais je suis pas encore au point la dessus. D?s que j'aurais compris comment ?a marche, je compl?terai le tuto.

Il me semble aussi que l'on peut emp?cher l'acc?s ?? la base de donn?es depuis l'ACP, en supprimant les fichiers
admin/admin_db_utilities.php
templates/subSilver/admin/db_utils_backup_body.tpl
templates/subSilver/admin/db_utils_restore_body.tpl

Mais je ne suis pas tout ?? fait s?r des cons?quences de cette manipulation.
par contre, si j'ai un autre conseil ?? donner, c'est d'?viter d'installer des Mods permettant de lancer des actions directement dans la base de donn?es (par exemple: un Mod pour ajouter des requ?tes SQL, un Mod pour r?parer ou optimiser la base de donn?es). Toutes ces actions doivent ?tre effectu?es depuis PhpMyAdmin.

en francais ca donne?? traduction pour Duna et moi SVP


mdr

C'est compliqu? chouchou, mais ceux qui ont d?j?? install? des forums phpbb comprennent de quoi je parle

lol dans le tas jai compris requete SQL et ..... ba rien d'autre lol

Yes j'ai compirs !!!

Perso j'ai install? un mod suppl?mentaire qui apparement augmente aussi la s?curit?........

Si ?a en int?resse certains...... c'est Cracker Tracker Professional G5

je trouve plus le forum en français ou je l'avais dl donc voici le lien vers le site officiel

http://www.cback.de/cback_software/phpbb2mods.php

je l'ai, il est super performant

je conseille aussi

http://www.phpbb-fr.com/downloads/?cat_id=52
pour la limite de tentative de connections

http://forum.phpbb.biz/log-connections-in-mysql-2-0-0-t100472.html
pour enregistrer les informations sur chaque visiteur qui passe sur le site, logu? ou non

http://forums.phpbb-fr.com/viewtopic.php?t=125901
Pour pallier aux inscriptions de robots publicitaires

Un gros GG ?? toi H?no et merci ?a va bien nous servir