Rom56
02/06/2006, 19h03
Votre forum ne sera jamais invulnérable, cependant vous pouvez le rendre le moins vulnérable possible, voici quelques conseils afin d'éviter au maximum les hacks
1 Un version de vbulletin à jourVbulletin posséde certaines failles de sécurité qui sont souvent corrigées. C'est pourquoi il faut que votre forum bénéficie des dernières mises à jours le plus rapidement possible. En effet les failles sont vite connus et pourraient intéresser quelques hackeurs.
2 - Les mots de passesLes mots de passes sont la cause principale des hacks. Un mot de passe tel que "chat" ou "chien" est facilement trouvable pour un hackeur qui utilise des dictionnaires de mot de pass. Pour cela utiliser des mots de passe complexes avec des lettres et des chiffres en variant minuscule et majuscule. Aussi bien pour votre base de données que pour votre compte personnel et celui des autres admins. Aussi cela parait peut-être bête à dire mais donner des accès administrateurs à des personnes que vous jugez de confiance, il serait bête qu'il hack lui même votre forum ou qu'il file ses pass...
edit : comme le dirait allan modifiez régulièrement vos mot de passes !!
3 - Dossier admincpChanger le nom du répertoireVbulletin est trop connu, tout le monde c'est que l'administration se fait via "www.monforum.com/admincp" . Il faut donc changer le répertoire admincp de place. A l'aide d'un client FTP renommer-le avec le nom que vous désirez. Puis dans le fichier "includes/config.php" modifier la ligne 79 $config['Misc']['admincpdir'] = 'admincp'; en remplaçant bien sur nomdunouveaudossier par le nom que vous avez donner à l'ancien dossier admincp
$config['Misc']['admincpdir'] = 'nomdunouveaudossier';
Ajouter un htacces
Si un hackeur a prit possession de votre compte, sans les codes du htacces il ne pourra rien faire. Ajouter donc un htacces, en suivant les consignes données sur ce post : http://www.vbulletin-ressources.com/forum/showthread.php?t=73
Souvent, vous pourrez ajouter un htacces simplement et rapidement grâce à votre pannel de configuration hébergeur.
Mettez des identifiants et un mot de passe à rallonge !!! en effet ils sont souvent enregistrés par votre naviguateur et vous n'avez pas à les retaper... ainsi "12dKLD!Jod?d2S451s5e1e!41fr185E?15e1!E81?e6E2" sera parfait pour jouer le rôle d'identifiant ou de pass..
Le petit plus..
Vous pouvez aussi re-creer un dossier "admincp" ( qui sera enffet factice, pour tromper les hackeurs par exemple ) en ajoutant un "index.htm" vide à l'intérieur et en le protégant avec un htacces aussi. Si le hackeurs s'embête à trouver les pass il sera bien déçu d'avoir fait cela pour rien ! :yahoo:
4 - Vérrouiller le dossier includesTélécharger la pièce jointe ".htaccess" et uploader-la dans le dossier "/includes/" ce n'est qu'un htaccess avec la mention "deny for all". Ainsi personne ne peut accèder au fichier "config.php" ou aux autres fichiers du dossier par le protocole http.
5 - Empecher certaines options aussi de vbulletin
Pour commencer désactiver le HTML partout ou quelqu'un serait suceptible d'insérer des codes mal intentionnés : signature, messages, etc... Désactiver l'utilisation de liens dynamiques qui pourrait contenir plus que des images..( par défault vb ne les autorise pas )
enfin cela ne concerne pas vb mais ne permettez surtout pas l'upload de fichier php sur vos serveurs..
Il est inutile de rappeler que vous devez protégé l'ensemble de votre site et non pas que vbulletin. Si un hackeur arrive à obtenir les pass de la base de données ou de login sur votre phpmyadmin il fera ce qu'il veut de votre forum ( même s'il est sécurisé ! )
6 Suivez les précieux conseils de alex ( merci à lui ! ):)
- Pour eviter, les backdoors sur le ftp. Je conseille de couper les autorisations d'upload d'avatars et pieces jointes pour les simples membres.
- Ensuite le dossier /install/ de vbulletin doit etre supprimer.
- Pour l'htaccess de votre admin, je vous conseille de placer le .htpassword donc un autre dossier sur un autre nom :p(En gardant le "." devant ce qui permet de cacher un fichier sous nux). Et l'htaccess est un outil qui ne sert pas seulement à ajouter des password sur vos dossier. Il est aussi capable de controler les host qui se connecte sur votre serveur apache.
Vlà un site très bien pour ça -> http://www.infres.enst.fr/~danzart/frames/htaccess.html (http://www.infres.enst.fr/%7Edanzart/frames/htaccess.html).
Je vous conseille de lire ce site car il vous sera possible d'autoriser seulement les host des administrateurs dans l'admincp ou encore de banir les host de certains membres sur votre serveur (Et ouais apache c'est puissant :angel:).
- Le point critique d'un forum vbulletin, c'est les comptes administrateurs. Donc penser à activer le changement des mots de passe tout les 2 mois environ et netoyer vos cookies sur vos pc.
- Et pour finir sur la securité d'un site web, Le top du top c'est d'avoir un apache-ssl (un https) ce qui permet de crypter toutes les connections sur le serveur.
Voila donc essayer de respecter au maximum ces quelques régles qui sont simples mais efficaces. On ne peut jamais eviter un hack seulement tout faire pour ne pas en être victime ! Pensez aussi à faire des sauvegardes régulières de votre base ainsi que de vos fichiers..
J'ai surement oublier des choses ! n'hésitez pas à me les transmettre je les rajouteraient dans ce tuto :)
1 Un version de vbulletin à jourVbulletin posséde certaines failles de sécurité qui sont souvent corrigées. C'est pourquoi il faut que votre forum bénéficie des dernières mises à jours le plus rapidement possible. En effet les failles sont vite connus et pourraient intéresser quelques hackeurs.
2 - Les mots de passesLes mots de passes sont la cause principale des hacks. Un mot de passe tel que "chat" ou "chien" est facilement trouvable pour un hackeur qui utilise des dictionnaires de mot de pass. Pour cela utiliser des mots de passe complexes avec des lettres et des chiffres en variant minuscule et majuscule. Aussi bien pour votre base de données que pour votre compte personnel et celui des autres admins. Aussi cela parait peut-être bête à dire mais donner des accès administrateurs à des personnes que vous jugez de confiance, il serait bête qu'il hack lui même votre forum ou qu'il file ses pass...
edit : comme le dirait allan modifiez régulièrement vos mot de passes !!
3 - Dossier admincpChanger le nom du répertoireVbulletin est trop connu, tout le monde c'est que l'administration se fait via "www.monforum.com/admincp" . Il faut donc changer le répertoire admincp de place. A l'aide d'un client FTP renommer-le avec le nom que vous désirez. Puis dans le fichier "includes/config.php" modifier la ligne 79 $config['Misc']['admincpdir'] = 'admincp'; en remplaçant bien sur nomdunouveaudossier par le nom que vous avez donner à l'ancien dossier admincp
$config['Misc']['admincpdir'] = 'nomdunouveaudossier';
Ajouter un htacces
Si un hackeur a prit possession de votre compte, sans les codes du htacces il ne pourra rien faire. Ajouter donc un htacces, en suivant les consignes données sur ce post : http://www.vbulletin-ressources.com/forum/showthread.php?t=73
Souvent, vous pourrez ajouter un htacces simplement et rapidement grâce à votre pannel de configuration hébergeur.
Mettez des identifiants et un mot de passe à rallonge !!! en effet ils sont souvent enregistrés par votre naviguateur et vous n'avez pas à les retaper... ainsi "12dKLD!Jod?d2S451s5e1e!41fr185E?15e1!E81?e6E2" sera parfait pour jouer le rôle d'identifiant ou de pass..
Le petit plus..
Vous pouvez aussi re-creer un dossier "admincp" ( qui sera enffet factice, pour tromper les hackeurs par exemple ) en ajoutant un "index.htm" vide à l'intérieur et en le protégant avec un htacces aussi. Si le hackeurs s'embête à trouver les pass il sera bien déçu d'avoir fait cela pour rien ! :yahoo:
4 - Vérrouiller le dossier includesTélécharger la pièce jointe ".htaccess" et uploader-la dans le dossier "/includes/" ce n'est qu'un htaccess avec la mention "deny for all". Ainsi personne ne peut accèder au fichier "config.php" ou aux autres fichiers du dossier par le protocole http.
5 - Empecher certaines options aussi de vbulletin
Pour commencer désactiver le HTML partout ou quelqu'un serait suceptible d'insérer des codes mal intentionnés : signature, messages, etc... Désactiver l'utilisation de liens dynamiques qui pourrait contenir plus que des images..( par défault vb ne les autorise pas )
enfin cela ne concerne pas vb mais ne permettez surtout pas l'upload de fichier php sur vos serveurs..
Il est inutile de rappeler que vous devez protégé l'ensemble de votre site et non pas que vbulletin. Si un hackeur arrive à obtenir les pass de la base de données ou de login sur votre phpmyadmin il fera ce qu'il veut de votre forum ( même s'il est sécurisé ! )
6 Suivez les précieux conseils de alex ( merci à lui ! ):)
- Pour eviter, les backdoors sur le ftp. Je conseille de couper les autorisations d'upload d'avatars et pieces jointes pour les simples membres.
- Ensuite le dossier /install/ de vbulletin doit etre supprimer.
- Pour l'htaccess de votre admin, je vous conseille de placer le .htpassword donc un autre dossier sur un autre nom :p(En gardant le "." devant ce qui permet de cacher un fichier sous nux). Et l'htaccess est un outil qui ne sert pas seulement à ajouter des password sur vos dossier. Il est aussi capable de controler les host qui se connecte sur votre serveur apache.
Vlà un site très bien pour ça -> http://www.infres.enst.fr/~danzart/frames/htaccess.html (http://www.infres.enst.fr/%7Edanzart/frames/htaccess.html).
Je vous conseille de lire ce site car il vous sera possible d'autoriser seulement les host des administrateurs dans l'admincp ou encore de banir les host de certains membres sur votre serveur (Et ouais apache c'est puissant :angel:).
- Le point critique d'un forum vbulletin, c'est les comptes administrateurs. Donc penser à activer le changement des mots de passe tout les 2 mois environ et netoyer vos cookies sur vos pc.
- Et pour finir sur la securité d'un site web, Le top du top c'est d'avoir un apache-ssl (un https) ce qui permet de crypter toutes les connections sur le serveur.
Voila donc essayer de respecter au maximum ces quelques régles qui sont simples mais efficaces. On ne peut jamais eviter un hack seulement tout faire pour ne pas en être victime ! Pensez aussi à faire des sauvegardes régulières de votre base ainsi que de vos fichiers..
J'ai surement oublier des choses ! n'hésitez pas à me les transmettre je les rajouteraient dans ce tuto :)