Joomladay francophone 2018 à Paris 18 et 19 mai

securité pour 1.5.15

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • securité pour 1.5.15

    Bonjour à tous,
    Etant entrain de finir mon site, je suis tombé sur un post un peu vieux certe mais il faisait référence à la sécurité. Je suis donc en localhot, avec xampp, avec la version de joomla 1.5.15, j'ai quelques questions:

    J'ai lu quelque part qu il fallait enregistrer sous le htaccess en .htaccess, c'est fait mais faut il le deplacer ? et effacer celui qui parait comme htaccess.txt????

    Je ne sais que faire d'autre pour securiser un peu tout ca, car il y a beaucoup de post sur le sujet je l'avoue, mais les post datent de bien longtemps et je ne sais si c'est encore d'actualité ?? pas de poste a ce sujet avec la version 1.5.15


    Que faire d'autre ??? je suis perdu entres tous ces posts.
    Merci enormement pour toutes vos réponses elles seront les bienvenues.

  • #2
    J'ai également installé qcontact avec un captcha pour le formulaire de contact, en sachant que mon site sera hebergé par ovh. merci a tous

    Commentaire


    • #3
      si tu as déja un fichier qui s'appelle .htaccess tu peut effacer l'autre fichier htaccess.txt
      et c'est même préférable.

      ton site est en ligne ?
      http://annuaire-referencement.net-r.org
      http://www.netremun.com/gagner/regies-publicitaires
      http://www.guide-autosurfs.com
      http://autosurf.net-r.org

      Commentaire


      • #4
        Bonjour à tous,

        je m'incruste, je suis très intéressé pour savoir aussi, je suis dans le même cas que toi christophe46.

        Le fichier .htaccess que tu utilise est celui d'origine ou celui de Sirius?
        Dernière édition par Zediste à 15/03/2010, 16h45

        Commentaire


        • #5
          désolé pour le temps de réponse, je n'avais pas vu. pour l instant je suis en local. et donc j utilise celui livré avec donc celui d'origine. Mais il est vrai qu'il y a celui de sirius, sirius a l'air d'être compétant car au bout d un moment je suis complétement largué. certains disent qu il faudrait mettre le point secu entre autre sur le htaccess, le php, mettre jsecur sentinelle et les chmods. cela fait une semaine que je me penche sur ce sujet.
          le premier qui trouve le dit à l autre lol.
          cordialement.

          Commentaire


          • #6
            Salut Christophe46,

            en ce qui me concerne, j'ai mis mon site en ligne chez OVH, et au niveau de la sécurité, j'ai pour le moment mis le fichier htaccess.txt d'origine en le renommant en .htaccess, et j'ai installé jsecure et sentinelle. Je n'ai pas encore touché les CHMOD, et je vais peut être voir voir mettre le htaccess de Sirius, qui, comme tu le dis si bien, à l'air de bien toucher dans ce domaine!
            Mais je n'ai pas encore regardé comment l'adapter à mon site, en fait je n'y comprends pas grand chose...

            D'ailleurs si quelqu'un veut bien nous donner un petit coup de main, volontier!

            Commentaire


            • #7
              re zediste,
              bon, alors pour ma part le site est pas encore en ligne, si tu veux pour les chmods tu as une page édité par ton hebergeur a ce sujet. T'expliquer le pourquoi du comment et surtout le comment du pourquoi. lol.
              Je vais prendre le temps ce soir de regarder le htaccess de sirius. on se donne des news. @+

              Commentaire


              • #8
                Jsecure alors en gros c'est:
                Jsecure est un plugin pour Joomla!™ qui sécurise l'authentification sur l'espace d'administration de votre site. il vous permet de créer un mot secret (url personnaliser) pour l'authentification a votre espace d'administration qui remplace le url classique de joomla.

                En tapant l'url classique de Joomla vous renvoyez l'internaute sur la page principale du site ou bien sur une page personnalisable (erreur 404 -page non disponible - personnalisable)

                l'url classique de votre page d'administration: http://monsiteweb.com/administrator
                devient
                http://monsiteweb.com/administrator/...VousAvezChoisi

                sentinelle :

                Principales fonctions :
                Défense par blocage : tout intrus est renvoyé sur une page d’avertissement "STOP hacking"
                Alerte : notification d’alerte détaillée (adresse IP + code) envoyée automatiquement par mail à l’administrateur
                Sécurité : enregistre l’adresse IP de l’intrus dans la base de données Joomla! (si option de blocage activée)
                Historique : consignation des différentes intrusions dans un fichier log
                Préventif : consultation de la liste des adresses IP bannies à l’ouverture de chaque nouvelle session
                Blocage : refuse l’accès au site si une nouvelle session utilise une adresse IP bannie


                le htaccess de sirius
                http://forum.joomla.fr/attachment.ph...4&d=1257521095

                et pour finir les chmods de ton hebergeur zedist.

                http://forum.ovh.net/showpost.php?p=104511

                Moi je ne sais quoi penser, en sachant que les attaques se basent sur les plug ou modules, Je me pose une question de debutant, si l on mets jsecure ou autre chose, est ce que ton site ne peut il pas etre detecter par les hackers comme un site utilisant se plug, ne serait il pas une facon de repertorier des sites pour les hackers??
                J ai vu deux trois post ou les personnes disaient qu il n avaient pas de problèmes avec leurs sites, et le jour ou ils se sont décidés pour mettre une petite protection, ce fut le debut des ennuis!!!
                quoi dire quoi penser et surtout quoi faire....

                Commentaire


                • #9
                  un petit script trouvé sur le net

                  Code PHP:
                  <?php function anti_injection( $user, $pass )
                  {
                  # on regarde si ya pas des commandes sql.

                  $banlist = array
                  (
                  "insert", "select", "update", "delete", "distinct", "having", "truncate", "replace",
                  "handler", "like", "procedure", "limit", "order by", "group by" ,"or" //or n'est pas conseillé mais je le met qd meme
                  );

                  if ( eregi ( "[a-zA-Z0-9]+", $user ) )
                  {
                  $user = trim ( str_replace ( $banlist, '', strtolower ( $user ) ) );
                  }
                  else
                  {
                  $user = NULL;
                  }

                  # on regarde si le mot de passe est bien alphanumerique
                  # on utilise strtolower() pour faire marcher str_ireplace()

                  if ( eregi ( "[a-zA-Z0-9]+", $pass ) )
                  {
                  $pass = trim ( str_replace ( $banlist, '', strtolower ( $pass ) ) );
                  }
                  else
                  {
                  $pass = NULL;
                  }

                  Commentaire


                  • #10
                    il y en a aussi qui font ca

                    - Tous les fichiers ont les droits 404
                    - Tous les dossiers ont les droits 505.
                    - Si un fichier ou un dossier nécessitent des droits d'écriture par le serveur mettez 604 pour le fichier et 705 pour le dossier. Chez OVH ça marche. Inutile de faire le fameux 777 (tous les droits à tout le monde). D'ailleurs OVH interdit les chmod en 777, il bloque le dossier qui a ce paramètre.
                    - Les fichiers config et htaccess ont des droits 404
                    - Le dossier "www" doit être en chmod 705, ne le changez jamais.

                    Avantage: personne ne peut modifier vos fichiers. Inconvénient: il faut changer les droits en écriture (604 et 705) si vous faites une mise à jour de votre blog, forum, cms, gallery, wiki et remettre les bons droits 404 et 505 après. Cela prend 10 min., mais ça vaut la peine.

                    Pourquoi est-ce si important: le pirate essaye d'installer un fichier sur votre site afin d'en prendre le contrôle (pour effacer le site, y placer un script qui envoie du spam, etc.). Il cherche des trous de sécurité pour pouvoir uploader son fichier de prise de contrôle. Si votre site a un trou de sécurité, le pirate l'exploitera, mais comme votre site web n'a que des dossiers et fichiers interdits en écriture, il ne pourra rien uploader. Son attaque ne marchera pas.

                    Commentaire


                    • #11
                      Les mots de passe

                      Protégez vos mots de passe.
                      On peut essayer de pénétrer votre hébergement en devinant votre mot de passe FTP ou SQL. OVH propose par défaut d'excellents mots de passe mais impossibles à mémoriser. Si vous changez les mots de passe, respectez les règles suivantes:
                      1- un mot de passe doit avoir au minimum 8 caractères, plus c'est mieux.
                      2- il ne doit jamais être un mot qu'on trouve dans le dictionnaire d'aucune langue. Les logiciels pour cracker des mots de passe ont des dictionnaires de centaines de milliers de mots de toutes les langues et cherchent toutes les combinaisons. Cela prend entre quelques minutes à quelques petites heures pour cracker ces mots de passe très facilement.
                      3- Un bon mot de passe contient des lettres et des chiffres.
                      4- N'UTILISEZ JAMAIS LE MÊME MOT DE PASSE pour le FTP, base SQL, e-mail, interface d'administration du site web. Le pirate SAIT que s'il trouve votre mot de passe, il a de fortes chances que ce soit le même mot de passe ailleurs !!! Beaucoup d'hébergeurs proposent un mot de passe unique pour "simplifier" la gestion, heureusement, ce n'est pas le cas d'OVH.

                      Commentaire


                      • #12
                        On n'autorise que l'affichage de certains fichiers, et pas les autres. Le fichier index.php est le fichier par défaut. Si on affiche index.htm, ça ne marche pas. L'intérêt est d'interdire au pirate d'afficher sur son navigateur un fichier ou un format de fichier non autorisé.
                        Attention: il faut tester ces interdictions et les adapter au besoin.


                        Code:
                        ### SEUL LE FICHIER index.php EST SERVI COMME PREMIER FICHIER PAR DEFAUT. LES AUTRES SONT INTERDITS
                        DirectoryIndex index.php

                        ### INTERDIRE LES AUTRES TYPES DE FICHIER INDEX
                        <Files ~ "^(index)\.(p?s?x?htm?|txt|aspx?|cfml?|cgi|pl| php[3-9]|jsp|xml)$">
                        order allow,deny
                        deny from all
                        </Files>

                        ### INTERDIRE L'AFFICHAGE DE CERTAINS FORMATS DE FICHIER
                        ### EXÉCUTÉS PAR LE SERVEUR MAIS INTERDIT D'AFFICHAGE PAR LE NAVIGATEUR WEB
                        <Files ~ "\.(inc|class|sql|ini|conf|exe|dll|bin|tpl|bkp|dat |c|h|py|spd|theme|module)$">
                        deny from all
                        </Files>

                        ### INTERDIRE L'AFFICHAGE DE CERTAINS FICHIERS COMME config, option, login, setup, install, admin.
                        ### A ADAPTER SI CELA POSE PROBLEME
                        <Files ~ "^((wp-)?config(\.inc)?|configure|configuration|login|opt ions?\.inc|option|settings?(\.inc)?|functions?(\.i nc)?|setup(\.inc)?|default|home|main|install?|admi n|errors?|hacke?r?d?|[-_a-z0-9.]*mafia[-_a-z0-9.]*|[-_a-z0-9.]*power[-_a-z0-9.]*|[-_a-z0-9.]*jihad[-_a-z0-9.]*|php|shell|ssh|root|cmd|[0-9]{1,6}|test|data)\.(p?s?x?htm?l?|txt|aspx?|cfml?|cg i|pl|php[3-9]{0,1}|jsp?|sql|xml)$">
                        order allow,deny
                        deny from all
                        </Files>6- Interdiction du hotlinking. Remplacez mondomaine par votre nom de domaine, tld par fr com net org ..., et 60gp par 90plan, start1g, etc. selon votre hébergement, et remplacez loginftp par votre... login FTP.


                        Code:
                        ### ON EVITE LE VOL D'IMAGES, VIDEO, SON, FEUILLE DE STYLE, PDF ET ZIP
                        ### LES VISITEURS DOIVENT PASSER PAR LE SITE.
                        RewriteEngine on
                        RewriteCond %{HTTP_REFERER} !^$
                        RewriteCond %{HTTP_REFERER} !^http://[-_a-z0-9.]*mondomaine\.tld$ [NC]
                        RewriteCond %{HTTP_REFERER} !^http://[-_a-z0-9.]*mondomaine\.tld/.*$ [NC]
                        RewriteCond %{HTTP_REFERER} !^http://60gp\.ovh\.net/~loginftp/.*$ [NC]
                        RewriteRule .*\.(gif|jpe?g?|jp2|png|svgz?|ico|css|pdf|zip|gz|j s|mp3|m4a|mp4|mov|divx|avi|wma?v?|wmp|swf|flv|docx ?|xlsx?|pptx?|vbs|rtf|asf?x?|odt|ods|odp|odg|odb)$ - [NC,F]

                        Commentaire


                        • #13
                          On bloque certaines requêtes bizarres:


                          Code:
                          ### DES FAUX URLS, ON LES NEUTRALISE
                          RedirectMatch gone ^/_vti.*
                          RedirectMatch gone ^/MSOffice.*
                          RedirectMatch gone ^[-_a-z0-9/\.]*//.*
                          RedirectMatch gone ^.*/etc/passwd.*8- On bloque toute une série de failles potentielles. La plupart des pirates utilisent ces moyens pour tester la faiblesse de votre site. Là, on les bloque avant qu'il ne pénètre votre blog, forum, cms, gallery, wiki. -= INDISPENSABLE =-


                          Code:
                          ### FILTRE CONTRE XSS, REDIRECTIONS HTTP, base64_encode, VARIABLE PHP GLOBALS VIA URL, MODIFIER VARIABLE _REQUEST VIA URL, TEST DE FAILLE PHP, INJECTION SQL SIMPLE
                          RewriteEngine On
                          RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
                          RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
                          RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|(.*)$ [NC,OR]
                          RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
                          RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)http(%3A|(/|%2F){2}(.*)$ [NC,OR] ## ATTENTION A CETTE REGLE. ELLE PEUT CASSER CERTAINES REDIRECTIONS RESSEMBLANT A: http://www.truc.fr/index.php?r=http://www.google.fr ##
                          RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR]
                          RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
                          RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
                          RewriteCond %{QUERY_STRING} ^(.*)(SELECT|INSERT|DELETE|CHAR\(|UPDATE|REPLACE|L IMIT)(.*)$
                          RewriteRule (.*) - [F]9- Si des pirates ont réussi à pénétrer votre site, ils installent un script qui leur permettent de prendre les commandes de votre hébergement. Ici, on bloque la plupart des commandes de ces scripts. À tester avec votre site web, car c'est très puissant et efficace. À la 5e ligne, remplacez "loginftp" par vos valeurs. Cette règle est très efficace mais peut casser votre blog, forum, cms, gallery, wiki. À utiliser en dernier, puis à tester intensément, et effacez éventuellement la règle qui pose problème.


                          Code:
                          ### FILTRE CONTRE PHPSHELL.PHP, REMOTEVIEW, c99Shell et autres
                          RewriteEngine On
                          RewriteCond %{REQUEST_URI} .*((php|my)?shell|remview.*|phpremoteview.*|sshphp .*|pcom|nstview.*|c99|r57|webadmin.*|phpget.*|phpw riter.*|fileditor.*|locus7.*|storm7.*)\.(p?s?x?htm ?l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml) [NC,OR]
                          RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
                          RewriteCond %{QUERY_STRING} ^(.*)=/home(.+)?/loginftp/(.*)$ [OR]
                          RewriteCond %{QUERY_STRING} ^work_dir=.*$ [OR]
                          RewriteCond %{QUERY_STRING} ^command=.*&output.*$ [OR]
                          RewriteCond %{QUERY_STRING} ^nts_[a-z0-9_]{0,10}=.*$ [OR]
                          RewriteCond %{QUERY_STRING} ^(.*)cmd=.*$ [OR] ## ATTENTION A CETTE REGLE. ELLE PEUT CASSER VOTRE SITE ##
                          RewriteCond %{QUERY_STRING} ^c=(t|setup|codes)$ [OR]
                          RewriteCond %{QUERY_STRING} ^act=((about|cmd|selfremove|chbd|trojan|backc|mass browsersploit|exploits|grablogins|upload.*)|((chmo d|f)&f=.*))$ [OR]
                          RewriteCond %{QUERY_STRING} ^act=(ls|search|fsbuff|encoder|tools|processes|ftp quickbrute|security|sql|eval|update|feedback|cmd|g ofile|mkfile)&d=.*$ [OR]
                          RewriteCond %{QUERY_STRING} ^&?c=(l?v?i?&d=|v&fnot=|setup&ref=|l&r=|d&d=|tree& d|t&d=|e&d=|i&d=|codes|md5crack).*$ [OR]
                          RewriteCond %{QUERY_STRING} ^(.*)([-_a-z]{1,15})=(ls|cd|cat|rm|mv|vim|chmod|chdir|mkdir|rmd ir|pwd|clear|whoami|uname|tar|zip|unzip|tar|gzip|g unzip|grep|more|ln|umask|telnet|ssh|ftp|head|tail| which|mkmode|touch|logname|edit_file|search_text|f ind_text|php_eval|download_file|ftp_file_down|ftp_ file_up|ftp_brute|mail_file|mysql|mysql_dump|db_qu ery)([^a-zA-Z0-9].+)*$ [OR]
                          RewriteCond %{QUERY_STRING} ^(.*)(wget|shell_exec|passthru|system|exec|popen|p roc_open)(.*)$
                          RewriteRule (.*) - [F]10- Empêcher l'exécution de tout script PHP, Perl, CGI dans un dossier. L'option ci-dessous vous permet par exemple de protéger un dossier d'upload ou tout dossier très sensible dont vous voulez renforcer la sécurité. Il ne faut pas utiliser cette option dans le fichier .htaccess avec tous les codes décrits ci-dessus. Je vous invite plutôt à créer un fichier .htaccess et à le mettre dans le dossier à protéger. Cette option empêche un navigateur web d'exécuter le script directement. Mais si le navigateur ouvre le fichier index.php qui fait un include() vers un fichier php se trouvant dans le dossier protégé par le code ci-dessous, tout s'exécutera bien. On protège donc l'exécution directe du fichier par un navigateur quand le pirate essaye d'entrer du code malicieux non filtré.

                          Code:
                          # Aucun script dans le dossier et ses sous-dossiers, que ce soit PHP, PERL ou autre CGI, ne pourra s'executer si ExecCGI est inactif. Et interdit d'afficher la liste des fichiers.
                          OPTIONS -ExecCGI -Indexes
                          Ne mettez pas ces règles d'un coup.
                          Copiez-en une, puis testez votre blog, forum, cms, gallery, wiki en ajoutant, modifiant un article, ajoutez effacez un utilisateur, accédez à votre interface d'administration et faites plusieurs choses. Si tout est OK, mettez une autre règle. En cas de problème, regardez l'URL appelée. Il y a peut-être un mot clé qui est bloqué par le fichier .htaccess. Il faudra effacer ce mot clé du fichier .htaccess. Vous l'avez compris, ce système filtre l'URL et regarde s'il est conforme à une utilisation normale. Donc, si vous avez un message d'erreur, trouvez le mot clé qui bloque la requête.
                          Il faut adapter ces règles à votre cas, ce n'est pas du simple copier-coller.

                          Plus tard, si dans l'utilisation de votre blog, forum, cms, gallery, wiki, vous voyez une erreur 403, alors il est probable qu'une règle du filtrage soit active.

                          Enfin, votre blog, forum, cms, gallery, wiki utilise souvent le fichier .htaccess pour y mettre des règles de ré-écriture d'URL plus lisibles (appelé URL rewriting). Mettez les filtres anti-pirates en premier et les règles URL rewriting à la fin. En effet, les filtres s'appliquent du premier au dernier. Placer les filtres anti-pirates après les règles de ré-écriture d'URL de votre blog, forum, cms, gallery, wiki n'apporterait aucun bénéfice (ce n'est pas vrai à 100%, mais il y a des raisons).

                          Commentaire


                          • #14
                            Crypter son fichier config.inc.php

                            Malgré toutes les précautions, le pirate a pénétré votre site et cherche maintenant à connaître les login et mot de passe de votre base MySQL pour la pirater, la vider et en prendre le contrôle. On peut lui compliquer la tâche en cryptant ces données sensibles. Le serveur web pourra lire ces informations facilement, mais elles ne seront pas lisibles directement par un œil humain.
                            Pour un expert en PHP, cette protection ne dure que 2 minutes, cela lui fait du travail en plus, mais nous ne sommes pas là pour lui faciliter la tâche ?

                            Visitez un de ces sites web et cryptez vos données.
                            http://www.btt-scripts.com/demo/encrypt/ - http://www.scriptomart.com/obfuscate/ - http://www.rightscripts.com/phpencode/ - http://www.encodephp.com/

                            Par exemple, mon fichier config.php contient ceci:

                            Code PHP:
                            <?php
                            //** MySQL settings **//
                            $db_server = "mysql5-1";
                            $db_name = "nombasesql";
                            $db_username = "loginsql";
                            $db_password = "motdepasse";
                            ?>
                            Je copie la partie à encoder entre les balises <?php et ?>
                            Je choisis l'encodage "PHP - Extrastrength". Ne cherchez pas un encodage plus élevé, j'ai constaté des erreurs sur les serveurs mutualisés d'OVH.
                            Je copie la longue ligne qui commence par eval(xxxx entre les balises <? et ?> et le colle dans le fichier config.inc.php, ce qui donne:


                            Code PHP:
                            <?php
                            eval(gzuncompress(gzinflate(base64_decode('AXEAjv9 42tPX19JS8K0MDvRRKE4tKcnMSy9W0NLS1+flUklJii9OLSpLL VJQULBVUMqtLC7MMdU1VLKGyOUl5qYqKEDk8vJzkxKLU4EKYLK lQK1gFUDZnPz0zDwkuYLE4uLy/KIUsKn5JSmpIIFUkCwAmYgq2g=='))));
                            ?>

                            Commentaire


                            • #15
                              Installation d'une base SQL

                              Lorsque vous installez votre blog, forum, cms, gallery, wiki pour la première fois, il vous propose des réglages et paramètres par défaut que nous acceptons à chaque fois. En cas de faille, le pirate peut utiliser ces réglages et paramètres par défaut pour pénétrer votre base SQL et la modifier.

                              Voici quelques conseils pour éviter que cette forme d'attaque de type injection SQL soit possible. Il y a plusieurs formes d'injections SQL. La règle 8 du .htaccess en arrête une autre forme. Sinon, la vraie protection contre les injections SQL est une bonne programmation (voir ici).

                              1- Quand vous installez votre blog, forum, cms, gallery, wiki, il vous donne comme login "admin" et vous demande d'entrer un mot de passe. Dans la mesure du possible, changez "admin" pour autre chose, un pseudo par exemple. Un pirate sait que le login par défaut est "admin" et lancera ses scripts uniquement sur le mot de passe. Mais si le login "admin" n'existe pas, il n'a aucune chance de pénétrer le système.
                              Il faut parfois faire cette modification dans phpMyadmin. Mais attention, il faut être sûr que cela ne cassera pas votre base. Posez la question sur le forum de l'éditeur de votre blog, forum, cms, gallery, wiki pour savoir si c'est possible.

                              2- Le premier utilisateur est donc l'administrateur et il porte toujours le numéro (ou ID) 1. Dans le cas où le login n'est pas "admin", certains scripts peuvent essayer d'avoir le mot de passe de l'utilisateur numéro 1 qui est, dans 99,99% des cas, l'administrateur. Dans la mesure du possible, effacez l'utilisateur numéro 1 sur la liste et soyez l'administrateur portant le numéro 2.
                              Il faut parfois faire cette modification dans phpMyadmin. Mais attention, il faut être sûr que cela ne cassera pas votre base. Posez la question sur le forum de l'éditeur de votre blog, forum, cms, gallery, wiki pour savoir si c'est possible.

                              3- Lors de l'installation, votre blog, forum, cms, gallery, wiki vous demande de choisir un préfixe pour le nom des tables. On accepte toujours le préfixe par défaut comme wp_ pour Wordpress, g2_ pour Gallery2, dc_ pour DotClear, phpbb_ pour phpBB, etc. Le pirate peut chercher la table avec la liste des utilisateurs et leurs mots de passe. Si, comme tout le monde, vous n'avez pas changé le préfixe, il lui sera facile de trouver la table. Donc, changez le préfixe de vos tables SQL pour plus de sécurité. Vous pouvez le faire après installation. Il faut parfois faire cette modification dans phpMyadmin. Mais attention, il faut être sûr que cela ne cassera pas votre base. Posez la question sur le forum de l'éditeur de votre blog, forum, cms, gallery, wiki pour savoir si c'est possible.
                              Par exemple, avec Wordpress en cas de changement de préfixe après installation, il faut aussi changer 2 entrées dans la base de données en plus du fichier wp-config.php, voyez leurs forums pour savoir comment faire.

                              Mon conseil: TOUJOURS MODIFIER LES PARAMÈTRES PAR DÉFAUT !

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X