[forum] punbb - phpbb et la sécurité ?

pierre_jean · 13 Avril 2006

Bonjour,

Je voudrais mettre en place un forum (punbb) ... en fait ma question est aussi valable pour phpbb

Pour contourner les problèmes de sécurités et donc les attaques qui pourraient "bouziller" le forum, est-il idiot de changer tous les noms de fichier par défault dans les sources des forums punbb ou phpbb par exemple.

Code:

changer un /include/config.php en /nclude/onfig.php ?

De cette manière les codes malicieux pour utiliser un fichier particulier ne marche plus ? non ?

qu'en pensez-vous ?

merci

cleden · 13 Avril 2006

Certes ça va embêter les éventuels hackers mais ça va surtout t'embêter toi lors des mises à jour de ton forum.

Je pense que le simple fait de garder ton forum à jour écarte d'office 99% des hacks. En voulant d'avantage de sécurité, tu risque de perdre un temps fou.

pierre_jean · 13 Avril 2006

le temps c'est pas trop un problème avec les commandes unix ca va tres vite :wink:

maj + renommage de fichier ... ca le ferais ?

ou encore une fois c'est inutile ?

Suede · 13 Avril 2006

Ca changerait pas grand chose.
Pas mal de failles viennent d'injection SQL et là ca en changera absolument rien.

Druidefou · 13 Avril 2006

Sans compter la modification du code, car tu va du coup appeler des pages qui n'existe pas si tu change leurs noms.

Et comme le dit suede, l'injection SQL pourra quand même se faire. La mise à jour est déjà bien suffisante.

pierre_jean · 13 Avril 2006

Druidefou a dit:
Sans compter la modification du code, car tu va du coup appeler des pages qui n'existe pas si tu change leurs noms.

on peut toujours changer le nom récursivement dans les fichiers

Druidefou a dit:
Et comme le dit suede, l'injection SQL pourra quand même se faire. La mise à jour est déjà bien suffisante.

hmmm j'avais pas pensé à ça tiens !

selon vous vraiement inutile ?

spidetra · 13 Avril 2006

pierre_jean a dit:
selon vous vraiement inutile ?

Certainement inutile. Bc plus utile une sauvegarde régulière de ta DB, afin de pouvoir restaurer rapidement en cas de hack.

pierre_jean · 13 Avril 2006

spidetra a dit:
Certainement inutile. Bc plus utile une sauvegarde régulière de ta DB, afin de pouvoir restaurer rapidement en cas de hack.

ok merci pour vos recommandations

pierre_jean · 13 Avril 2006

si d'autres personnes ont des recommandations ou des ptits trucs de sioux ?

par contre c'est pas juste une sauvegarde de ta BDD ... carrement du serveur complet en cas d'acces root sur le serveur

spidetra · 13 Avril 2006

pierre_jean a dit:
si d'autres personnes ont des recommandations ou des ptits trucs de sioux ?

par contre c'est pas juste une sauvegarde de ta BDD ... carrement du serveur complet en cas d'acces root sur le serveur

Je répondais par rapport aux Injection SQL.
Le crack du compte root à partir d'un script de forum, j'ai des doutes quand même.
C'est possible ?

NobodyElse · 13 Avril 2006

sur les serveurs dédiés et je pense sur les autres pour environ 5 euros par mois ton hébergeur peut te faire une sauvegarde totale (bdd, pages, image disque) quotidienne genre à 4h du mat quand personne n'ecrit sur ton forum histoire que la base ne soit pas vérolée et donc inutilisable à la réinstallation. Le mieux pour protéger un phpBB est de le mettre à jour manuellement et si possible comme on vient de le faire sur un des miens carrément supprimer la fonction highlight dont viennent la plupart des failles c'est prise de tete mais elle ne sert à rien, sauf à surligner les mots recherchés qd tu utilises cette fonction m'enfin on vit plus que bien sans.

pour accéder au root faut s'accrocher, surtout via le forum mais une toute petite faille peut te hacker le forum. dc le mieux c'est d'avoir une sauvegarde quotidienne sur un serveur dédié tu peux la programmer toi même et faire en sorte que tes BDD soient gardées deux ou trois jours ds un fichier zip qui le remplace par le suivant, je ne sais pas si je suis claire. au pire tu perdras un jour ou deux de posts mais c'est quand même mieux que le tout non ? parce qu'en ne gardant qu'une sauvegarde quotidienne si elle est vérolée ca ne sert à rien.

et puis la sauvegarde c'est pas juste la BDD ds un coin du serveur faut la transférer chez toi parce que si ton disque pète lors d'un reboot ou autre ce qui m'est arrivé récemment si tu ne l'as pas chez toi ou que ton hébergeur ne l'a pas chez lui (via option payante) tu peux d'un remballer pour ton forum de deux bien te faire chier à reconfigurer... l'image disque chez l'hébergeur c'est qd même le plus prudent.

donc je resume:

sauvegarde: BDD + pages toi même tous les deux ou trois jours
sauvegarde serveur sur 3 jours en zip qq part
sauvegarde image disque par ton hébergeur
mise à jour manuelle (le mieux) de ton forum surtout les phpBB qui changent souvent.

pierre_jean · 13 Avril 2006

Merci beaucoup pour la réponse complète ... et sur un mutualisé ?

NobodyElse · 13 Avril 2006

quand on était en mutualisé on faisait une sauvegarde nous même de la bdd tous les soirs et des pages toutes les semaines plus en cas de grosses modifs. et comme tu peux être hacké le jour où ton pc plante (suis pessimiste je sais :lol

fais sur cd la sauvegarde hebdommadaire. garde aussi celle de la veille en fait tu gardes J et J-1 (J-2 aussi si tu as la place).

spidetra · 13 Avril 2006

NobodyElse a dit:
quand on était en mutualisé on faisait une sauvegarde nous même de la bdd tous les soirs et des pages toutes les semaines plus en cas de grosses modifs. et comme tu peux être hacké le jour où ton pc plante (suis pessimiste je sais :lol fais sur cd la sauvegarde hebdommadaire. garde aussi celle de la veille en fait tu gardes J et J-1 (J-2 aussi si tu as la place).

Tu n'es pas pessimiste. Tu es prudent, et tu as raison.

Szarah · 13 Avril 2006

Sans oublier de faire un test de restauration de la BDD

Des sauvegardes qui ne servent à rien, ... ne servent à rien.

achtungbaby · 13 Avril 2006

Un petit htpasswd pour protéger la zone admin, ça peut pas faire de mal.

pierre_jean · 13 Avril 2006

bon je vais faire des sauvegardes alors