[forum] punbb - phpbb et la sécurité ?

Discussion dans 'Administration d'un site Web' créé par pierre_jean, 13 Avril 2006.

  1. pierre_jean
    pierre_jean WRInaute occasionnel
    Inscrit:
    6 Avril 2005
    Messages:
    296
    J'aime reçus:
    0
    Bonjour,

    Je voudrais mettre en place un forum (punbb) ... en fait ma question est aussi valable pour phpbb ;)

    Pour contourner les problèmes de sécurités et donc les attaques qui pourraient "bouziller" le forum, est-il idiot de changer tous les noms de fichier par défault dans les sources des forums punbb ou phpbb par exemple.

    Code:
    changer un /include/config.php en /nclude/onfig.php ?
    De cette manière les codes malicieux pour utiliser un fichier particulier ne marche plus ? non ?

    qu'en pensez-vous ?

    merci
     
  2. cleden
    cleden WRInaute impliqué
    Inscrit:
    6 Janvier 2003
    Messages:
    911
    J'aime reçus:
    0
    Certes ça va embêter les éventuels hackers mais ça va surtout t'embêter toi lors des mises à jour de ton forum.

    Je pense que le simple fait de garder ton forum à jour écarte d'office 99% des hacks. En voulant d'avantage de sécurité, tu risque de perdre un temps fou.
     
  3. pierre_jean
    pierre_jean WRInaute occasionnel
    Inscrit:
    6 Avril 2005
    Messages:
    296
    J'aime reçus:
    0
    le temps c'est pas trop un problème avec les commandes unix ca va tres vite :wink:

    maj + renommage de fichier ... ca le ferais ?

    ou encore une fois c'est inutile ?
     
  4. Suede
    Suede WRInaute passionné
    Inscrit:
    4 Octobre 2002
    Messages:
    2 441
    J'aime reçus:
    0
    Ca changerait pas grand chose.
    Pas mal de failles viennent d'injection SQL et là ca en changera absolument rien.
     
  5. Druidefou
    Druidefou WRInaute discret
    Inscrit:
    10 Août 2005
    Messages:
    156
    J'aime reçus:
    0
    Sans compter la modification du code, car tu va du coup appeler des pages qui n'existe pas si tu change leurs noms.

    Et comme le dit suede, l'injection SQL pourra quand même se faire. La mise à jour est déjà bien suffisante.
     
  6. pierre_jean
    pierre_jean WRInaute occasionnel
    Inscrit:
    6 Avril 2005
    Messages:
    296
    J'aime reçus:
    0
    on peut toujours changer le nom récursivement dans les fichiers

    :oops: hmmm j'avais pas pensé à ça tiens !

    selon vous vraiement inutile ?
     
  7. spidetra
    spidetra WRInaute passionné
    Inscrit:
    7 Juillet 2003
    Messages:
    1 215
    J'aime reçus:
    0
    Certainement inutile. Bc plus utile une sauvegarde régulière de ta DB, afin de pouvoir restaurer rapidement en cas de hack.
     
  8. pierre_jean
    pierre_jean WRInaute occasionnel
    Inscrit:
    6 Avril 2005
    Messages:
    296
    J'aime reçus:
    0
    ok merci pour vos recommandations
     
  9. pierre_jean
    pierre_jean WRInaute occasionnel
    Inscrit:
    6 Avril 2005
    Messages:
    296
    J'aime reçus:
    0
    si d'autres personnes ont des recommandations ou des ptits trucs de sioux ?

    par contre c'est pas juste une sauvegarde de ta BDD ... carrement du serveur complet en cas d'acces root sur le serveur
     
  10. spidetra
    spidetra WRInaute passionné
    Inscrit:
    7 Juillet 2003
    Messages:
    1 215
    J'aime reçus:
    0
    Je répondais par rapport aux Injection SQL.
    Le crack du compte root à partir d'un script de forum, j'ai des doutes quand même.
    C'est possible ?
     
  11. NobodyElse
    NobodyElse Nouveau WRInaute
    Inscrit:
    1 Février 2006
    Messages:
    16
    J'aime reçus:
    0
    sur les serveurs dédiés et je pense sur les autres pour environ 5 euros par mois ton hébergeur peut te faire une sauvegarde totale (bdd, pages, image disque) quotidienne genre à 4h du mat quand personne n'ecrit sur ton forum histoire que la base ne soit pas vérolée et donc inutilisable à la réinstallation. Le mieux pour protéger un phpBB est de le mettre à jour manuellement et si possible comme on vient de le faire sur un des miens carrément supprimer la fonction highlight dont viennent la plupart des failles c'est prise de tete mais elle ne sert à rien, sauf à surligner les mots recherchés qd tu utilises cette fonction m'enfin on vit plus que bien sans.

    pour accéder au root faut s'accrocher, surtout via le forum mais une toute petite faille peut te hacker le forum. dc le mieux c'est d'avoir une sauvegarde quotidienne sur un serveur dédié tu peux la programmer toi même et faire en sorte que tes BDD soient gardées deux ou trois jours ds un fichier zip qui le remplace par le suivant, je ne sais pas si je suis claire. au pire tu perdras un jour ou deux de posts mais c'est quand même mieux que le tout non ? parce qu'en ne gardant qu'une sauvegarde quotidienne si elle est vérolée ca ne sert à rien.

    et puis la sauvegarde c'est pas juste la BDD ds un coin du serveur faut la transférer chez toi parce que si ton disque pète lors d'un reboot ou autre ce qui m'est arrivé récemment si tu ne l'as pas chez toi ou que ton hébergeur ne l'a pas chez lui (via option payante) tu peux d'un remballer pour ton forum de deux bien te faire chier à reconfigurer... l'image disque chez l'hébergeur c'est qd même le plus prudent.

    donc je resume:

    sauvegarde: BDD + pages toi même tous les deux ou trois jours
    sauvegarde serveur sur 3 jours en zip qq part
    sauvegarde image disque par ton hébergeur
    mise à jour manuelle (le mieux) de ton forum surtout les phpBB qui changent souvent.
     
  12. pierre_jean
    pierre_jean WRInaute occasionnel
    Inscrit:
    6 Avril 2005
    Messages:
    296
    J'aime reçus:
    0
    Merci beaucoup pour la réponse complète ... et sur un mutualisé ?
     
  13. NobodyElse
    NobodyElse Nouveau WRInaute
    Inscrit:
    1 Février 2006
    Messages:
    16
    J'aime reçus:
    0
    quand on était en mutualisé on faisait une sauvegarde nous même de la bdd tous les soirs et des pages toutes les semaines plus en cas de grosses modifs. et comme tu peux être hacké le jour où ton pc plante (suis pessimiste je sais :lol:) fais sur cd la sauvegarde hebdommadaire. garde aussi celle de la veille en fait tu gardes J et J-1 (J-2 aussi si tu as la place).
     
  14. spidetra
    spidetra WRInaute passionné
    Inscrit:
    7 Juillet 2003
    Messages:
    1 215
    J'aime reçus:
    0
    Tu n'es pas pessimiste. Tu es prudent, et tu as raison.
     
  15. Szarah
    Szarah WRInaute accro
    Inscrit:
    22 Février 2006
    Messages:
    5 997
    J'aime reçus:
    1
    Sans oublier de faire un test de restauration de la BDD :)
    Des sauvegardes qui ne servent à rien, ... ne servent à rien.
     
  16. achtungbaby
    achtungbaby WRInaute accro
    Inscrit:
    14 Juin 2004
    Messages:
    3 112
    J'aime reçus:
    1
    Un petit htpasswd pour protéger la zone admin, ça peut pas faire de mal.
     
  17. pierre_jean
    pierre_jean WRInaute occasionnel
    Inscrit:
    6 Avril 2005
    Messages:
    296
    J'aime reçus:
    0
    bon je vais faire des sauvegardes alors ;)
     
Chargement...
Similar Threads - [forum] punbb phpbb Forum Date
Récapitulatif [Forum] Les membres (qui le souhaitent) se présentent Le café de WebRankInfo 18 Juin 2011
[Forum]Quel Forum utilisez vous pour votre site? Développement d'un site Web ou d'une appli mobile 28 Mai 2009
[Avis + conseils][Forum] Mobile Share Demandes d'avis et de conseils sur vos sites 3 Août 2008
smf ou punbb ? Développement d'un site Web ou d'une appli mobile 28 Juin 2011
Coder son forum ou utiliser un forum standard (PhpBB, PUnBB, Invision . ) ? Développement d'un site Web ou d'une appli mobile 25 Avril 2011
punBB faire un block Connection sur son site Développement d'un site Web ou d'une appli mobile 14 Mars 2010
besoin d'aide rewriting punBB 1.3 URL Rewriting et .htaccess 5 Juillet 2009
Plugin captcha pour PunBB Développement d'un site Web ou d'une appli mobile 11 Mai 2009
Phpbb3 ou Fluxbb (ex-Punbb) Développement d'un site Web ou d'une appli mobile 8 Avril 2009
Convertire Punbb 1.2 en PHPBB Développement d'un site Web ou d'une appli mobile 26 Mars 2009
punbb attaqué Administration d'un site Web 11 Juin 2008
Problème Punbb et ovh Administration d'un site Web 27 Janvier 2008
Punbb france disparu ? Administration d'un site Web 14 Novembre 2007
Le coté SEO de PunBB 1.3 Développement d'un site Web ou d'une appli mobile 23 Octobre 2007
Vbulletin Vs PunBB Vs PhpBB Développement d'un site Web ou d'une appli mobile 8 Juillet 2007
Integration PunBB Développement d'un site Web ou d'une appli mobile 5 Juin 2007
Problème entre Categorizator et PunBB... Développement d'un site Web ou d'une appli mobile 18 Mai 2007
PunBB tient-il la route pour etre un gros forum? Développement d'un site Web ou d'une appli mobile 6 Mars 2007
PunBB Administration d'un site Web 16 Février 2007
centrer mon forum Punbb Développement d'un site Web ou d'une appli mobile 4 Janvier 2007