Protéger/sécuriser un site contre d'éventuelles attaques

[aetos]

Bonjour, je compte utiliser Kompozer pour faire les pages web d'un prochain site associatif, je voudrais le protéger aux mieux contre d'éventuelles attaques, est-ce qu'un site fait avec Kompozer est facilement attaquable, comment un site peut-être attaqué/piraté, que faire pour l'éviter ? D'avance merci beaucoup de vos conseils.

[Ymai]

Bonjour
Un site réalisé avec KompoZer n'est pas plus fragile qu'un autre.
Quelques précautions à prendre:
- ne pas laisser traîner le mot de passe du FTP
- si possible, rendre ce mot de passe complexe
- en rester à du HTML pur dans un premier temps
- en cas d'utilisation de scripts, se montrer prudentissime et fouiller les forums à la recherche de mises en garde

[aetos]

Bonsoir Ymai et merci de m'avoir répondu, quand tu dis "ne pas laisser traîner le mot de passe du FTP", c'est à dire de ne pas le laisser sur son pc ou sur un support connecté au pc, genre une clé usb, la débrancher avant de me connecter à internet ? Je pense utiliser FileZilla pour publier les pages du site, il est bien ? Encore merci.

[Ymai]

Bonjour

quand tu dis "ne pas laisser traîner le mot de passe du FTP", c'est à dire de ne pas le laisser sur son pc

En territoire hostile, ne pas laisser un post-it collé sur l'écran )

ou sur un support connecté au pc, genre une clé usb, la débrancher avant de me connecter à internet ?

Ça, c'est la version "parano". Il ne faut peut-être pas aller si loin. Les professionnels du piratage seront sans doute plus intéressés par les numéros de compte en banque qu'au mot de passe du FTP d'un site web familial. Aller chercher un mot de passe dans un fichier non localisable sur une clef USB me paraît un travail peu rentable.

Je pense utiliser FileZilla pour publier les pages du site, il est bien ?

Très bien. Mais KpZ 0.8b3 fait déjà bien le travail aussi. Filezilla n'est plus nécessaire (alors qu'il l'était avec KpZ -> 07.10)

[aetos]

Merci Ymai.

[/jmj]

Salut,

Pour compléter la réponse d'ymai. Il y a aussi les fichiers .htaccess qui permettent de faire pas mal de choses. C'est un simple fichier texte, qu'on ne peut pas créer avec kompozer mais avec notepad par exemple, ensuite il faut le mettre à la racine de votre site via FTP.

Voici un exemple de fichier .htaccess qui empêche qu'un site extérieur n'exploite vos images à votre insu, autrement dit seules les images apparaissant sur votre site (définies par votre domaine) seront accessibles, en-dehors de ce domaine, personne ne pourra les voir.

Je ne suis pas un fanatique de la sécurité mais depuis que certaines des images de mon site se sont retrouvées sur des sites pornos, ben je fais un peu plus attention...

Code : Tout sélectionner

RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://www.mon_site_internet.fr/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://mon_site_internet.fr/.*$ [NC]
ReWriteRule .*\.(gif|png|jpe?g)$ - [F]

Remplacer mon_site_internet.fr par votre domaine propre.

[odin]

Je pense utiliser FileZilla pour publier les pages du site, il est bien ?

Très bien. Mais KpZ 0.8b3 fait déjà bien le travail aussi. Filezilla n'est plus nécessaire (alors qu'il l'était avec KpZ -> 07.10)[/quote]


Bonjour,

Kpz gère-il le sftp ?
Fillezilla oui ...

[chinon37]

Si ma mémoire est bonne (et j'en doute...) pas encore.

[Kazé]

Nan, Kompozer se limite au FTPS pour l’instant. Le support SFTP est un projet en cours mais je ne sais pas si le contributeur qui s’en occupe va réussir dans sa tâche…

Quitte à passer par un client FTP externe je recommande vivement FileZilla, qui est très robuste, et qu’on peut paramétrer dans les options avancées de Kompozer pour l’ouvrir depuis le gestionnaire de sites (clic droit > « ouvrir le répertoire distant »).

[chinon37]

Quitte à passer par un client FTP externe je recommande vivement FileZilla, qui est très robuste, et qu’on peut paramétrer dans les options avancées de Kompozer pour l’ouvrir depuis le gestionnaire de sites (clic droit > « ouvrir le répertoire distant »).

On m'aurait caché ça!
Voilà tout de même une info très intéressante qui avait dû m'échapper

[odin]

Quitte à passer par un client FTP externe je recommande vivement FileZilla, qui est très robuste, et qu’on peut paramétrer dans les options avancées de Kompozer pour l’ouvrir depuis le gestionnaire de sites (clic droit > « ouvrir le répertoire distant »).

Super ... mais c'est où tout cela ?!

[Fabrice.Tres.Net]

Il faut configurer dans les préfèrences/options la partie application pour le client ftp.

Ensuite dans le gestionnaire de site il suffit de faire le clic droit pour le lancer!

[aetos]

Bonjour et merci à tous pour vos conseils, bon d'après ce que j'ai compris le HTML est plutôt sûr par rapport à d'autres langages, j'aimerais ajouter un forum au site, un comme sur Geckozone, "phpBB", est-ce que le fait qu'il soit en php signifie qu'il peut être plus vulnérable que le html, est-ce que des pirates pourront facilement l'attaquer, récupérer les informations (mot de passe...) des inscrits ? Si c'est vraiment sûr comme forum, quelqu'un pourrait me dire comment on installe ce type de forum dans une page html ? Merci d'avance.

[Ymai]

Bonjour

Bonjour et merci à tous pour vos conseils, bon d'après ce que j'ai compris le HTML est plutôt sûr par rapport à d'autres langages,

Tout à fait exact.

j'aimerais ajouter un forum au site, un comme sur Geckozone, "phpBB", est-ce que le fait qu'il soit en php signifie qu'il peut être plus vulnérable que le html,

Très certainement plus vulnérable.

est-ce que des pirates pourront facilement l'attaquer, récupérer les informations (mot de passe...) des inscrits ?

Le présent forum est sous phpBB. Les administrateurs ont fait un gros travail de protection en surcouche à phpBB. Il n'en reste pas moins que des spams doivent être évacués régulièrement. Bon nombre de forums laissés un peu à l'abandon sont victimes de bombardement de spams.
Se faire récupérer les mots de passe des inscrits est surtout un risque lorsque ces mots de passe sont trop simples. Surtout celui de l'administrateur.

Si c'est vraiment sûr comme forum, quelqu'un pourrait me dire comment on installe ce type de forum dans une page html ? Merci d'avance.

Le mieux est sans doute de consulter une bonne documentation et des gens qualifiés: http://forums.phpbb-fr.com/documentatio ... 35891.html

[aetos]

Bonjour Ymai, merci beaucoup pour tes conseils, c'est vraiment sympa, je vais lire et étudier tout ce que tu viens de me donner, encore merci et bon week-end !