Nous sommes le Dim Nov 24, 2024 6:42 pm

Heures au format UTC + 1 heure




 Page 1 sur 1 [ 10 messages ] 
Auteur Message
 Sujet du message: Augmenter la s?curit? sur un site phpbb
MessagePosté: Ven Juin 08, 2007 5:28 pm 
Admin Méchant
Admin Méchant
Avatar de l’utilisateur

Enregistré le: Ven Oct 13, 2006 6:11 pm
Messages: 2356
Localisation: sw_goldrush_te
La toile est peupl?e de personnes malveillantes qui prennent plaisir ? sacager le travail des autres. Aussi est-il important de proteger au maximum les sites que l'on met en ligne. Le probl?me avec des sites aussi r?pandu que le phpbb, c'est que les personnes malveillantes connaissent tr?s bien leur fonctionnement et rep?rent facilement les failles. Voici quelques conseils et manipulations afin d'augmenter la s?curit? d'un site/forum phpbb

Indexation des r?pertoires
Par d?faut, le contenu d'un r?pertoire est visible par tous s'il ne contient pas au moins un fichier index.htm(l). Ce fichier emp?che simplement qu'un visiteur puisse visualiser le contenu d'un r?pertoire. Si vous avez ajout? des r?pertoires dans votre forum, contenant des images ou autres fichiers, pensez ? ajouter un fichier index.html ? l'interieur. Une page blanche suffira ? empecher les visiteurs de voir le contenu de vos repertoires.

Identifiants et mots de passe
Pour que la s?curit? de votre forum soit vraiment efficace, il faut avant toute chose bien choisir vos mots de passe. Pr?f?rez des mots de passe assez longs compos?s d'une succession al?atoire de chiffres et de lettres. Evitez les dates de naissances, les plaques d'immatriculation ou les chiffres f?tiches. Si vous voulez les noter, comme pense-b?te, ne le faites que dans un endroit s?r de votre PC, ou sur un support autre qu'informatique. Deuxi?me point important, et cela concerne la plupart du temps les ?quipes administratives d'un forum, ne laissez aucune trace d'identifiants et de mots de passe dans les sections priv?es d'un forum ou dans un message priv?. Si une personne malveillante r?cup?re un rang d'administrateur, elle pourrait avoir acc?s facilement ? ces donn?es. Si vous devez passer ces informations ? une autre personne, fa?tes le d'une mani?re ind?pendante au forum.

Les dossiers inutiles et dangereux sur le FTP
Juste apr?s l'installation de votre forum, on vous demande de supprimer les dossiers install et contrib ? la racine de votre forum. Profitez-en pour ?galement supprimer le dossier docs et son contenu (inutile).
Supprimez ensuite les fichiers qui ne correspondent pas ? votre type de base de donn?es dans le dossier db. Pour MySQL par exemple, vous laissez seulement les fichiers db2.php, mysql.php, mysql4.php (pour MySQL 4.x), et index.htm

L'astuce avec le fichier config.php
Le fichier config.php est le fichier le plus dangereux. Si une personne malveillante parvient ? y avoir acc?s, votre site/forum est en grand danger puisqu'il contient le login et le mot de passe de votre base de donn?es. Comme je l'ai dit pr?cedement, le phpbb est tr?s r?pandu et donc les personnes malveillantes connaissent tr?s bien son fonctionnement. Donc le fichier config.php est une de leur cible favorites. Voici une parade: Le fichier se trouve par d?faut ? la racine de votre forum. Pour plus de s?curit?, nous allons le d?placer dans un nouveau r?pertoire. Pour cela, cr?ez un r?pertoire ? la racine de votre forum et appelez-le comme vous voulez (pas de majuscules ni d'espaces). Dans mon exemple, je le nommerais gaylife. Cette op?ration effectu?e, ajoutez dans le r?pertoire nouvellement cr?e un fichier .htaccess contenant uniquement Deny from all (sans retour ? la ligne). Pour finir, d?placez le fichier config.php dans le nouveau r?pertoire (n'oubliez pas de supprimer le fichier config.php ? la racine du forum). Cependant le site/forum ne fonctionne plus car il ne trouve plus la base de donn?es, il faut modifier un autre fichier pour que la modification soit prise en compte. Editez avec le bloc-note (ou wordpad ou n'importe quel programme d'?dition de texte), le fichier common.php situ? ? la racine du forum et faites:
 #-----[ OPEN ]------------------------------------------------
#
common.php
#
#-----[ FIND ]------------------------------------------------
#
include($phpbb_root_path . 'config.'.$phpEx);
#
#-----[ REPLACE WITH ]----------------------------------------
#
include($phpbb_root_path . 'gaylife/config.'.$phpEx);
#
#-----[ SAVE/CLOSE ALL FILES ]--------------------------------
#
# EoM

le r?pertoire gaylife est ? changer par le nom que vous avez donn? ? votre nouveau r?pertoire contenant le fichier config.php.
Enregistrez le fichier common.php.




Ces quelques conseils et manipulations permettent d'augmenter la s?curit?, en aucun cas cela est infaillible


Modifié en dernier par Mickey_90 le Ven Juin 08, 2007 5:41 pm, modifié 1 fois.


_________________
crypto-monnaie : Mon lien de parrainage Binance
Hors ligne
 Profil  
 
 Sujet du message:
MessagePosté: Ven Juin 08, 2007 5:33 pm 
Admin Méchant
Admin Méchant
Avatar de l’utilisateur

Enregistré le: Ven Oct 13, 2006 6:11 pm
Messages: 2356
Localisation: sw_goldrush_te
Astuce suppl?mentaire

Vous pouvez mettre un leurre ?? la place du fichier config.php ?? la racine de votre forum, celui-ci contenant de mauvaises informations pour les variables $dbname, $dbuser, $dbpasswd et $table_prefix.



_________________
crypto-monnaie : Mon lien de parrainage Binance
Hors ligne
 Profil  
 
 Sujet du message:
MessagePosté: Ven Juin 08, 2007 5:41 pm 
Retraité
Retraité
Avatar de l’utilisateur

Enregistré le: Jeu Oct 19, 2006 1:46 pm
Messages: 5454
Localisation: Minas Morgul, Mordor
PDT_Armataz_02_43 PDT_Armataz_02_43

bon tuto.....

PDT_Armataz_02_43 PDT_Armataz_02_43



_________________
"Pour abattre un xanthite, vous devez en devenir un..."

- Proverbe de l'Ordo Malleus -

Image
Hors ligne
 Profil  
 
 Sujet du message:
MessagePosté: Ven Juin 08, 2007 5:49 pm 
Admin Méchant
Admin Méchant
Avatar de l’utilisateur

Enregistré le: Ven Oct 13, 2006 6:11 pm
Messages: 2356
Localisation: sw_goldrush_te
yep merci, ils y a d'autres astuces sur des points sensibles comme le r?pertoire admin avec la cr?ation d'un sys?me HTaccess compos? de deux fichiers nomm?s .htaccess et .htpasswd, mais je suis pas encore au point la dessus. D?s que j'aurais compris comment ?a marche, je compl?terai le tuto.

Il me semble aussi que l'on peut emp?cher l'acc?s ?? la base de donn?es depuis l'ACP, en supprimant les fichiers
admin/admin_db_utilities.php
templates/subSilver/admin/db_utils_backup_body.tpl
templates/subSilver/admin/db_utils_restore_body.tpl

Mais je ne suis pas tout ?? fait s?r des cons?quences de cette manipulation.
par contre, si j'ai un autre conseil ?? donner, c'est d'?viter d'installer des Mods permettant de lancer des actions directement dans la base de donn?es (par exemple: un Mod pour ajouter des requ?tes SQL, un Mod pour r?parer ou optimiser la base de donn?es). Toutes ces actions doivent ?tre effectu?es depuis PhpMyAdmin.



_________________
crypto-monnaie : Mon lien de parrainage Binance
Hors ligne
 Profil  
 
 Sujet du message:
MessagePosté: Ven Juin 08, 2007 5:56 pm 
Retraité
Retraité
Avatar de l’utilisateur

Enregistré le: Mer Nov 01, 2006 5:33 pm
Messages: 1569
Localisation: Paris
en francais ca donne?? traduction pour Duna et moi SVP


mdr PDT_Armataz_02_01 PDT_Armataz_02_01



_________________
Image
Image
Hors ligne
 Profil  
 
 Sujet du message:
MessagePosté: Ven Juin 08, 2007 6:03 pm 
Admin Méchant
Admin Méchant
Avatar de l’utilisateur

Enregistré le: Ven Oct 13, 2006 6:11 pm
Messages: 2356
Localisation: sw_goldrush_te
C'est compliqu? chouchou, mais ceux qui ont d?j?? install? des forums phpbb comprennent de quoi je parle



_________________
crypto-monnaie : Mon lien de parrainage Binance
Hors ligne
 Profil  
 
 Sujet du message:
MessagePosté: Ven Juin 08, 2007 6:16 pm 
Retraité
Retraité
Avatar de l’utilisateur

Enregistré le: Dim Nov 05, 2006 7:46 pm
Messages: 2271
Localisation: Minas Anor, Gondor
lol dans le tas jai compris requete SQL et ..... ba rien d'autre lol



_________________
je suis le dunadan le boulet

Image
Image
Hors ligne
 Profil  
 
 Sujet du message:
MessagePosté: Ven Juin 08, 2007 6:17 pm 
Retraité
Retraité
Avatar de l’utilisateur

Enregistré le: Mer Oct 18, 2006 10:25 am
Messages: 394
Localisation: Paris
Yes j'ai compirs !!!

Perso j'ai install? un mod suppl?mentaire qui apparement augmente aussi la s?curit?........

Si ?a en int?resse certains...... c'est Cracker Tracker Professional G5

je trouve plus le forum en français ou je l'avais dl donc voici le lien vers le site officiel

http://www.cback.de/cback_software/phpbb2mods.php



_________________
[align=center]
Image
Image
[/align]
Hors ligne
 Profil  
 
 Sujet du message:
MessagePosté: Ven Juin 08, 2007 6:34 pm 
Admin Méchant
Admin Méchant
Avatar de l’utilisateur

Enregistré le: Ven Oct 13, 2006 6:11 pm
Messages: 2356
Localisation: sw_goldrush_te
je l'ai, il est super performant

je conseille aussi



_________________
crypto-monnaie : Mon lien de parrainage Binance
Hors ligne
 Profil  
 
 Sujet du message:
MessagePosté: Ven Juin 08, 2007 9:15 pm 
Life
Life
Avatar de l’utilisateur

Enregistré le: Sam Jan 27, 2007 4:52 pm
Messages: 2715
Un gros GG ?? toi H?no et merci ?a va bien nous servir PDT_Armataz_02_43 PDT_Armataz_02_43 PDT_Armataz_02_43 PDT_Armataz_02_43



_________________
Life is short, so play now !
Hors ligne
 Profil  
 
Afficher les messages postés depuis:  Trier par  
 Page 1 sur 1 [ 10 messages ] 

Heures au format UTC + 1 heure


Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 9 invités


Vous ne pouvez pas poster de nouveaux sujets
Vous ne pouvez pas répondre aux sujets
Vous ne pouvez pas modifier vos messages
Vous ne pouvez pas supprimer vos messages

Rechercher:
Aller à:  

cron