Aller au contenu
Couillaman le site une demo bientot ! ×

Pratiques de base pour protéger son site


Phobos
 Share

Messages recommandés

Choisir le meilleur des hébergeurs

C'est un facteur très important dans la sécurité de votre site.

Il y aura toujours des hackers qui vont vouloir hacker en priorité le serveur et s'occuper après des sites, c'est important d'avoir un hébergeur avec une sécurité à toute épreuve et régulièrement à jour

Mettre à jour aussi régulièrement que possible

Une mise à jour peut servir à protéger divers modules potentiellement vulnérables ou bien un code mal sécuriser dans le CMS utilisé et c'est la porte ouverte aux attaques massives, des logiciels comme

Acunetix va analyser votre site et vous permettre de voir si les mises à jour de votre script ou cms ont été efficace ou non.
Beaucoup trop d'attaques se font pour sql injection ou par XSS cross scripting alors une analyse est fortement recommandé.

Supprimez le dossier d'installation

Après l'installation des sites tels que MyBB, Vbulletin, Invision power board, PHPbb, le dossier d'installation est laissé.

Pour tous forum ou sites le dossier d'installation est à supprimer le renommer n'est pas une solution.

Le hacker pourrait bien le trouver et voir le fichier de configuration appelle généralement config.php

Autorisations de fichier

C'est une autre chose que de nombreux propriétaires de site web / créateurs oublient.

Lorsque vous installez le site d'un grand nombre de fichiers / dossiers changent leurs autorisations à 777 qui est tous les droits.

Cependant après, il est de votre devoir de revenir en arrière et rechanger ceux-ci dans "755" pour les dossiers et «644» pour les fichiers.

 

FTPS Connexion

Lorsque vous utilisez ce type de connexion vous avez la garantie de sécurité lors de l'envoi vers la connexion des sites à votre propre ordinateur.

Il est fortement recommandé si disponible.

Les mots de passe,
Je sais que cela semble stupide mais parfois même un mot de passe relativement complexe peut être craqué comme admin910.

C'est là que les générateurs de mots de passe complexe ont leur rôle à jouer bien sur ce n'est pas évident de retenir un mot de passe et encore plus lorsque que celui-ci est pratiquement impossible à retenir

Des clefs usb à 16 giga sa coûte pas cher et ça vas surement vous sauvez la vie plus d'une fois sans parler des hébergeurs dans le cloud comme 1fichiers.com qui autorise les mots de passe et une ip unique pour télécharger

Comme sa plus d'excuses pour se laisser hacker avec un mot de passe faible.

Prévention des attaques de base MySQL

Tout ce que vous devez faire est d'utiliser une fonction mysql_real_escape_string.

Utilisation de mysql_real_escape_string

Il remplace ceux-ci (') avec cette '. En fin de compte résultant à la recherche de noms très faux.

//NOTE: you must be connected to the database to use this function!
// connect to MySQL

$name_bad = “’ OR 1’”;

$name_bad = mysql_real_escape_string($name_bad);

$query_bad = “SELECT * FROM customers WHERE username = ‘$name_bad’”;
echo “Escaped Bad Injection: <br />” . $query_bad . “<br />”;


$name_evil = “’; DELETE FROM customers WHERE 1 or username = ‘”;

$name_evil = mysql_real_escape_string($name_evil);

$query_evil = “SELECT * FROM customers WHERE username = ‘$name_evil’”;
echo “Escaped Evil Injection: <br />” . $query_evil;


Prévention de base de XSS

 

 

Disons que j'ai une connexion avec le script suivant :
 
<input type="text" name="username" value="${ user_name }" />

Un simple exploit serait :

"><script>alert("hello"></script><input

Maintenant, nous pouvons empêcher l'edition du script en échappant tout simplement aux caractères spéciaux que le code ci-dessous fait :

<input type="text" name="username" value="${ escape_special(user_name) }" />
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

×
×
  • Créer...