VOTRE ESPACE

Présentation

  L'agent Snyke

Thèmes
d'utilisation

  Forums

News

12/10: A la découverte des blogs avec le Kaléibloscope
02/09: PHONIT disponible en version béta: les blogs par téléphone.
26/07: Snyke héberge des blogs.
15/05: Pretty-RSS, intègre un annuaire RSS interactif.
15/02: Nouveau service: Pretty-RSS, des fils d'actualité dynamiques pour votre site
15/10: les 1er inscrits utilisent le service gratuit Snyke ...
01/10: Snyke ouvre son service en ligne ....
15/09: SnyKe lance sa nouvelle interface utilisateur ...
11/09: Première version de l'agent SnyKe ...

Informations

  Fils Infos
  Forum RSS
  Le BLOG RSS
  Annuaire RSS
  Lecteur RSS
  Lecteur RSS en ligne
   Liste de flux RSS :
a- b- c- d- e- f- g- h- i- j- k- l- m- n- o- p- q- r- s- t- u- v- w- x- y- z
  World weather maps
  L'encyclopedie
   English
   German
   Spanish
   Italien
   Portuguais
   Japonais
  ODP-Mirror
  Dmoz-Tags
  RFC-Zone
  Finances

Sécurisation phpBB
précautions à prendre lors de l'installation de phpbb
(en complément des infos disponibles sur les forums phpBB-fr.com et phpBB.biz)

Renommer config.php

Un des fichiers sensibles dans le logiciel de gestion de forums phpBB est le fichier config.php. Celui-ci contient les données de connexion à la base de donnée qui supporte les forums. Si ces données sont compromises, un intrus a potentiellement la capacité de faire ce qu'il veut avec votre forum.

Pourquoi je propose de renommer ce fichier:

Une grosse partie des "piratages" de sites provient de ceux que l'on appelle des script kiddies. Ceux-ci n'inventent rien et se contentent d'exploiter des failles connues en utilisant souvent des outils automatiques qu'ils n'ont pas créés.

Dans le cas de phpBB une cible de choix "connue" est config.php. Si on banalise le fichier en le renommant par exemple "keyboard.php", la compromission de ce fichier sera plus dure pour un script kiddy. Bien sûr choissez votre nom de fichier en évitant des noms tels que "secret", "private" ou "passwd" ;-).
Il faudra ensuite éditer le fichier "common.php" et remplacer "config" par "VotreFichierConfig".
On peut aussi mettre le fichier dans un répertoire particulier que l'on protègera avec un .htaccess.

Plus fort et plus interressant !

Après avoir renommé le fichier config.php, vous pouvez en créer un mais avec des informations "fausses". De cette manière si un intrus croit avoir pris possesion de votre vrai mot de passe et tente de se connecter à la base, il obtiendra un erreur du type "can't connect to xxx" (et abandonnera peut etre la partie). Ce type d'erreur est généralement loggé dans les journaux de la base. Si vous avez accès à ces journaux vous saurez si quelqu'un a tenté de se connecter avec un mauvais password.

De plus vous pouvez mettre en place une surveillance automatique qui vous alerte dès la première tentative en échec et dans ce cas mettre le système hors ligne immédiatement ! Il ne reste plus qu'à attendre le poisson !!

Attention tout ceci peut tromper la vigilance d'un script kiddy mais pas celle d'un vrai "gangster" !

Autre pages sur sécurisation phpBB:

to the top