6 conseils pour protéger votre site Web

par Didier

De nombreuses personnes sur le Web sont des gens bons et honnêtes. Néanmoins, il y a des personnes qui naviguent sur le net et qui s’amusent à fouiller les sites web et à découvrir les failles de sécurité. Quelques idées simples peuvent vous aider à protéger votre site Web selon les méthodes habituelles.

Actuellement, le sujet de la sécurité de l’information est complexe et dépasse largement le cadre de cette rubrique. Néanmoins, je vais vous expliquer les principes de base à suivre pour éviter les problèmes potentiels qui pourraient permettre à des personnes de voir des choses qu’elles ne devraient pas voir.

Protection par mot de passe des répertoires

Si vous avez un site de répertoire sur votre serveur qui doit rester personnel, ne comptez pas sur l’ignorance des Hacker pour ne pas deviner le nom du répertoire. Il y a une véritable guerre en ce moment sur l’actualité et l’information et si vous commencez à avoir des vues et du trafic, vous risquez aussi des attaques de toute part. Alors soyez prudent. Il est préférable de protéger le répertoire par un mot de passe au niveau du serveur Web. Plus de 50 % des sites Web sont alimentés par le serveur Apache, alors voyons comment protéger par mot de passe un répertoire sur Apache.

Apache prend les commandes de configuration via un fichier appelé .htaccess qui se trouve dans le répertoire site. Les commandes du fichier .htaccess ont un effet sur ce dossier et sur tout type de sous-dossier, à moins qu’un sous-dossier particulier ne possède ses propres données .htaccess. Pour protéger un dossier par un mot de passe, Apache utilise également un document appelé .htpasswd. Ce fichier contient les noms et les mots de passe des personnes auxquelles l’accès est fourni. Le mot de passe est crypté, vous devez donc utiliser le programme htpasswd pour élaborer les mots de passe.

Pour y accéder, allez dans la ligne de commande de votre serveur Web et tapez htpasswd. Si vous obtenez l’erreur « command not discovered », vous devez appeler votre administrateur système. En outre, n’oubliez pas que de nombreux hébergeurs proposent des moyens en ligne pour sauvegarder un répertoire, et qu’ils peuvent avoir mis en place des points pour que vous le fassiez de cette manière plutôt que par vous-même. En rejetant cette possibilité, continuons.

Tapez « htpasswd -c.htpasswd myusername » où « myusername » est le nom d’utilisateur que vous voulez. Il vous sera alors certainement demandé un mot de passe. Validez-le et les documents seront créés. Vous pouvez le vérifier via FTP. De plus, si le fichier se trouve dans votre dossier web, vous devez le déplacer pour qu’il ne soit pas facilement accessible au public. Actuellement, ouvrez ou développez vos données .htaccess. À l’intérieur, incluez ce qui suit :

  • AuthUserFile/ home/www/passwd/. htpasswd.
  • AuthGroupFile/ dev/null.
  • AuthName « Dossier sécurisé ».
  • AuthType Basic.
  • need valid-user.

Sur la première ligne, réajustez le cours site directory à n’importe quel endroit où se trouve votre fichier .htpasswd. Une fois que cela est configuré, vous obtiendrez certainement un dialogue popup lorsque vous verrez ce dossier sur votre site Web. Vous serez certainement appelé à vous connecter pour le visualiser.

Désactiver les listes de sites de répertoire.

Par défaut, tout répertoire de votre site qui n’a pas de fichier de page d’accueil identifié (index.htm, index.php, default.htm, etc.) est susceptible de présenter plutôt une liste de tous les documents de ce dossier. Vous ne voulez peut-être pas que les gens voient tout ce que vous transportez là. La façon la plus simple de se prémunir contre cela est de développer simplement une donnée vierge, de la nommer index.htm et de la publier ensuite dans ce dossier. Votre deuxième solution consiste, là encore, à utiliser les documents .htaccess pour désactiver le listage des répertoires. Pour ce faire, il suffit d’inclure la ligne « Alternatives -Indexes » dans les données. Maintenant, les utilisateurs obtiendront certainement une erreur 403 au lieu d’une liste de données.

Se débarrasser de l’enregistrement d’installation.

Si vous installez des logiciels et des scripts sur votre site, ils comportent parfois des scripts d’installation et/ou de mise à jour. Si vous les laissez sur votre serveur, vous vous exposez à de gros problèmes de sécurité, car si quelqu’un d’autre connaît ce logiciel, il peut trouver et exécuter vos scripts d’installation/mise à niveau et, par conséquent, réinitialiser toute votre base de données, vos documents de configuration, etc. Un logiciel bien conçu vous conseillera de supprimer ces éléments avant de vous permettre d’utiliser le logiciel. Néanmoins, assurez-vous que cela a été fait. Supprimez simplement les données de votre serveur.

Restez au courant des mises à jour de sécurité.

Ceux qui exécutent des logiciels sur leur site web exigent de communiquer les mises à jour et les notifications de sécurité associées à ces logiciels. Si vous ne le faites pas, vous risquez de vous exposer aux cyber-punks. En effet, il arrive souvent qu’une faille de sécurité flagrante soit découverte et signalée et qu’un délai s’écoule avant que le fabricant du logiciel puisse lancer un correctif. N’importe qui peut trouver votre site Web en utilisant le logiciel et manipuler la vulnérabilité si vous n’effectuez pas de mise à jour. J’ai moi-même été victime de cette situation à plusieurs reprises, des forums de discussion entiers ayant été détruits et ayant dû être restaurés à partir d’une sauvegarde. Cela se produit.

Diminuez votre niveau de couverture des erreurs.

En ce qui concerne principalement PHP, car c’est le langage dans lequel je travaille, les erreurs et les avertissements produits par PHP sont, par défaut, publiés avec tous les détails dans votre navigateur Web. Le problème est que ces erreurs incluent normalement des cours de répertoire complets vers les manuscrits en question. Cela distribue trop de détails. Pour remédier à cela, diminuez le niveau de couverture des erreurs de PHP. Vous pouvez le faire de deux manières. La première consiste à modifier votre fichier php.ini. Il s’agit de l’arrangement principal pour PHP sur votre serveur. Essayez d’y trouver les instructions error_reporting et display_errors. Néanmoins, si vous n’avez pas accès à ces documents (ce qui est souvent le cas sur les organisations partagées), vous pouvez également réduire le niveau de signalement des erreurs en utilisant la fonction error_reporting() de PHP. Incluez cette fonction dans les données mondiales de vos scripts, car elle fonctionnera certainement dans tous les domaines.

Protégez vos formulaires.

Les formulaires ouvrent une large brèche dans votre serveur Web pour les cyberpirates si vous ne les codez pas efficacement. Étant donné que ces formulaires sont généralement soumis à un manuscrit sur votre serveur Web, souvent avec un accès à votre base de données, un formulaire qui ne présente pas de défense peut offrir à un pirate un accès direct à toutes sortes de choses. Gardez à l’esprit que ce n’est pas parce que vous avez une zone d’adresse et qu’elle porte la mention « Adresse » que vous pouvez compter sur les personnes qui y entreront leur adresse. Imaginez que votre type n’est pas correctement codé et que le script auquel il se soumet ne l’est pas non plus. Qu’est-ce qui empêcherait un cyberpunk de lancer une requête SQL ou d’écrire du code dans cette zone d’adresse ? En gardant cela à l’esprit, voici quelques éléments à faire et à rechercher :.

Utilisation MaxLength. Les champs de saisie de type peuvent utiliser l’attribut maxlength du HTML pour limiter la taille de la saisie sur les formulaires. Utilisez cet attribut pour empêcher les gens d’entrer trop d’informations. Cela arrêtera certainement la plupart des gens. Un cyberpunk peut le contourner, vous devez donc vous prémunir contre les excès de détails au niveau du manuscrit également.

Cachez les adresses électroniques Si vous utilisez un script de formulaire de courrier électronique, n’incluez pas l’adresse électronique dans le formulaire lui-même. Cela va à l’encontre du but recherché et les araignées de spam peuvent toujours localiser votre adresse électronique.

Utilisez la reconnaissance du genre. Je ne vais pas me lancer dans une leçon sur les émissions ici, mais tout script auquel un type se soumet doit vérifier l’entrée reçue. Assurez-vous que les zones reçues sont les zones prévues. Vérifiez que les données entrantes sont d’une longueur raisonnable et également anticipée, ainsi que du bon format (dans le cas d’emails, de téléphones, de zips, etc.).

Évitez le SQL Shot. Une leçon complète sur le tir SQL peut être réservée à un autre article, mais l’essentiel est que l’entrée de type est autorisée à être insérée directement dans une requête SQL sans reconnaissance et, par conséquent, en fournissant à un pirate la capacité d’exécuter des questions SQL en utilisant votre type de site Web. Pour éviter cela, inspectez constamment le type des informations entrantes (nombres, chaînes de caractères, etc.), exécutez la validation de type appropriée comme indiqué ci-dessus, et créez également des questions comme si un cyberpunk ne pouvait rien insérer dans le type qui ferait que la requête fasse quelque chose d’autre que ce que vous voulez.

Verdict.

La sécurité des sites Web est un sujet assez complexe et beaucoup plus technique que cela. Néanmoins, je vous ai proposé une introduction standard sur plusieurs des points les plus simples que vous pouvez faire sur votre site pour atténuer la plupart des risques auxquels il est exposé.

Related Posts