Sécuriser et protéger son site web

Discussion dans 'Administration d'un site Web' créé par staboolx, 2 Octobre 2007.

  1. staboolx
    staboolx Nouveau WRInaute
    Inscrit:
    2 Octobre 2007
    Messages:
    5
    J'aime reçus:
    0
    Bonjour à tous,

    J'ai trouvé un lien fort interressant sur le forum OVH concernant la sécurisation d'un site web. Tout (ou presque) se passe via le fichier .htaccess.

    Les thèmes abordés sont :
    - Les droits d'écriture, de lecture et d'exécution
    - Les mots de passe
    - Register_Globals sur OFF
    - Interdire l'accès au .htaccess depuis le navigateur
    - Interdire de lister le contenu d'un dossier
    - Exclure les logiciels suspects utilisés par les pirates et certains aspirateurs de site web
    - Autorise l'affichage que de certains fichiers
    - Interdiction du hotlinking
    - Bloquer certaines requêtes bizarres
    - Bloquer toute une série de failles potentielles
    - Bloque la plupart des commandes de scripts
    - Crypter son fichier config.inc.php
    - Installation d'une base SQL
    - ...
    - Cryptez votre adresse e-mail
    - ...


    Source : http://forum.ovh.com/showthread.php?t=19263

    Qu'en pensez vous?
    Utilisez vous d'autres techniques?
    :?:
     
  2. Djoudje
    Djoudje WRInaute discret
    Inscrit:
    29 Mai 2007
    Messages:
    190
    J'aime reçus:
    0
    je fais une petite reco pour ce post, très intéressant et super complet.
    Juste une question: on dit que le htaccess est gourmand en ressources, mettre en oeuvre toutes les préconisations ne va-t-il pas ralentir le serveur?
     
  3. Jeviensderio
    Jeviensderio WRInaute passionné
    Inscrit:
    29 Septembre 2006
    Messages:
    1 053
    J'aime reçus:
    0
    On a la sécurisation mutualisée sur OVH et la version dédiée sur WRI.
    Merci pour ces liens.
     
  4. marion17
    marion17 WRInaute occasionnel
    Inscrit:
    11 Novembre 2006
    Messages:
    412
    J'aime reçus:
    0
    merci de ce message, petite question technique :

    ### FILTRE CONTRE XSS, base64_encode SALETE , DEFINIR VARIABLE PHP GLOBALS VIA URL, MODIFIER VARIABLE _REQUEST VIA URL
    RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
    RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$
    RewriteRule (.*) - [F]


    Il faut mettre quoi dans les variable "GLOBAL" et "_REQUEST" svp ? le simple nom de domaine ? ca detecte tout seul ?

    et comme Djoudje j'aimerais savoir si il consomem beaucoup de ressource CPU le Htacess bien garni, surtout pour le filtre anti aspirateur , car il verifie a chaque affichage le user agent et le compare a la longue liste ?

    merci



    merci
     
  5. staboolx
    staboolx Nouveau WRInaute
    Inscrit:
    2 Octobre 2007
    Messages:
    5
    J'aime reçus:
    0
    Tu n'a rien à ajouter, l'expression régulière regarde si "GLOBAL" ou "_REQUEST" sont saisis dans l'adresse et applique la règle de réécriture.

    Ca serait interressant à connaitre en effet...
     
  6. Jeviensderio
    Jeviensderio WRInaute passionné
    Inscrit:
    29 Septembre 2006
    Messages:
    1 053
    J'aime reçus:
    0
    Je pense que le temps de traitement d'un fichier texte est négligeable par rapport au temps de transfert sur le Net. Moins d'un dixième de seconde.
     
  7. smart-http
    smart-http WRInaute discret
    Inscrit:
    25 Mai 2007
    Messages:
    106
    J'aime reçus:
    0
    Merci pour ces informations
     
Chargement...
Similar Threads - Sécuriser protéger web Forum Date
Sécuriser/protéger un site contre d'éventuelles attaques Développement d'un site Web ou d'une appli mobile 12 Mars 2010
sécuriser upload fichier csv.gz Développement d'un site Web ou d'une appli mobile 9 Mars 2022
Sécuriser son formulaire de recherche (protection anti-robot) Développement d'un site Web ou d'une appli mobile 24 Février 2015
sécuriser les injections SQL Développement d'un site Web ou d'une appli mobile 20 Novembre 2014
Quel outil pour sécuriser un site ? vérification périodique des fichiers Administration d'un site Web 21 Octobre 2011
Comment sécuriser le lien de mon produit numérique ? e-commerce 18 Août 2011
Sécuriser le fichier error_log par htaccess URL Rewriting et .htaccess 2 Avril 2010
Sécuriser l'index du site du duplicate à cause des index multiples Débuter en référencement 18 Février 2010
Sécuriser un Cookie d'authentification Développement d'un site Web ou d'une appli mobile 7 Février 2010
sécuriser un service web ? Développement d'un site Web ou d'une appli mobile 29 Juin 2009
Sécuriser un blog Wordpress en 7 étapes Développement d'un site Web ou d'une appli mobile 28 Mai 2009
Sécuriser un script php de téléchargement de fichiers Développement d'un site Web ou d'une appli mobile 13 Mars 2009
Sécuriser son site Internet Développement d'un site Web ou d'une appli mobile 26 Septembre 2008
Sécuriser un champ textaera (TinyMCE) Développement d'un site Web ou d'une appli mobile 10 Août 2008
securiser un formulaire avec mot a retaper Développement d'un site Web ou d'une appli mobile 29 Juillet 2008
Sécuriser WordPress et IPB Administration d'un site Web 17 Avril 2008
Connexion PDO : comment sécuriser les champs de formulaire? Développement d'un site Web ou d'une appli mobile 16 Avril 2008
Securiser mon formulaire mail ? avec les p'tites lettres :) Développement d'un site Web ou d'une appli mobile 24 Juin 2007
Hack, massmailing, ralentissement : comment sécuriser? Administration d'un site Web 12 Mars 2007
[article] Sécuriser son serveur LAMP Administration d'un site Web 18 Août 2006