BLOG

Blog

  • Clients, serveurs ? Qu’est-ce que ça veut dire ?
    Ces termes informatiques sont très régulièrement utilisés et il peut être intéressant de savoir, grossièrement, de quoi il s’agit. Qu’est-ce qu’un serveur ? Un serveur est un équipement informatique. Le plus souvent ce n’est qu’un simple ordinateur. Bien sûr il est, en général, beaucoup plus puissant que les ordinateurs que…
    En savoir plus...
  • Les messages d’erreurs HTTP
    Les messages d'erreurs HTTP: Qui n’a pas un jour rencontré une page inaccessible sur un site internet ? Tout le monde n’y prête pas forcement attention mais le message renvoyé (à la place de la page inaccessible par exemple) est généralement accompagné d’un code. Nous allons brièvement voir les significations…
    En savoir plus...
  • Le référencement
    Qu'est-ce que le référencement ? Le référencement est l'action visant à rendre visible un site depuis les différents outils de recherche disponibles sur Internet. Ces outils ne sont autre que les moteurs de recherche (google, yahoo, Bing...) et les annuaires (meilleursliens.be, net-liens.com, meilleurduweb.com, weborama.fr...) qui vont indexer les sites pour…
    En savoir plus...
samedi, 04 janvier 2014 20:12

Dossier "Piratage et sécurité (Partie 3)": Les bases en matière de sécurité !

La base de la sécurité est souvent une simple question de bon sens. Il faut se mettre à la place des pirates et protéger son site en fonction des futurs agissements de ces derniers.

 

Quelques règles de base à ne pas négliger pour protéger son site:

Protéger votre ordinateur ! Celui avec lequel vous allez manipuler votre site et vos différents serveurs. Il est primordiale d'avoir un anti virus digne de ce nom régulièrement mis à jour et de vérifier l'intégralité de vos disques au moins une fois par semaine. Je conseille aussi d'installer un firewall et un antispyware. Si votre serveur est surprotégé mais que votre poste local est infecté, des pirates n'auront aucun mal à se procurer toutes les informations nécessaires à l'authentification vers l'administration de votre site. Protéger son site et son serveur c'est bien mais il faut d'abord se protéger soit même !

Ne vous connectez jamais à vos serveurs ou à l'administration de votre site depuis des réseaux public, des accès wifi non sécurisé ou des réseaux dont vous n'avez pas une entière confiance.

Protéger son site c'est aussi faire régulièrement des sauvegardes de ce dernier et de la base de données !

Mettez à jours vos serveurs, CMS, extensions, applications...

 

Choisir des mots de passes sécurisés:

Les pirates vont chercher à forcer les mots de passe des différents comptes (ftp, sql, administration web...). Changer les login par défaut des identifiants de connexions rendra la tache plus difficile aux pirates et découragera probablement la grande majorité. Evitez donc les login comme "admin", "root", "su"...

Choisissez un mot de passe complexe d'au moins 8 caractères (beaucoup plus si possible) combinant lettres majuscules et minuscules, chiffres et caractères spéciaux. C'est le prix a payer pour obtenir un mot de passe sécurisé mais cela permettra de décourager encore beaucoup d'autres hackers.

Utilisez un mot de passe sécurisé et différent pour chaque compte ! Ce n'est pas parce que le pirate a réussi à pénétrer la base de données qu'il faut lui donner accès à l'administration web ou au ftp...


Vérifier les droits attribués aux utilisateurs:

Optimisez la restriction des droits sur les différents fichiers et dossiers composant le site avec des restrictions particulières pour les fichiers sensibles et/ou de configuration (.htaccess, php.ini, index.php...).

Evitez pour les dossiers/fichiers sensibles les noms génériques tel que "administrateur (.php) " ou "configuration (.php)". Compliquez la vie aux hackers pour les décourager.

Ajoutez des fichier ".htpasswd" pour les répertoires sensibles et en particulier les répertoires permettant l'administration du site.

 

Utiliser des connexions sécurisés pour communiquer avec vos serveurs:

Dans la mesure du possible, privilégiez les protocoles sécurisés (sftp, ssh...) pour transférer et modifier les fichiers vers votre site. Evitez donc le protocole ftp dont les informations passent en clair sur le réseau et ne sont pas cryptées (en particulier les identifiants de connexions).

 

Se documenter sur les fichiers de configuration apache et en particulier le fichier ".htaccess":

Ne négligez pas la puissance du fichier ".htaccess" qui permet entre autre de restreindre les accès à différents fichiers/dossiers ou types de fichiers (extensions), de filtrer les différentes requêtes/url exécutés par les utilisateurs et les hackers potentiels, de stopper un bon nombres d'attaques (xss, injection de code ou injection sql...), de bloquer certaines ip... mais aussi de pratiquer l'url rewriting (ou réécriture d'URL), de rediriger des pages et personnaliser les pages d'erreurs (en particulier l'erreur 404)...

 

Utiliser les outils mis à votre disposition par votre hébergeur:

Vérifiez régulièrement les logs fournis par votre hébergeur. Ils vous permettront d'identifier les comportements suspects des visiteurs et hackers potentiels et éventuellement de repérer les points faibles de votre site à améliorer.

Devis

Être Contacté

Compétences

Site web sur mesure aux standards W3C
Site Flash animé
Logo, Bannière animée et interactive
Référencement et Optimisation du SEO
Identité visuelle et charte graphique
Développement et application Web

Réalisations

realisations
chargement...
4D for Design. fermer