[forum] punbb - phpbb et la sécurité ?

[pierre_jean]

Bonjour,

Je voudrais mettre en place un forum (punbb) ... en fait ma question est aussi valable pour phpbb

Pour contourner les problèmes de sécurités et donc les attaques qui pourraient "bouziller" le forum, est-il idiot de changer tous les noms de fichier par défault dans les sources des forums punbb ou phpbb par exemple.

Code: Tout sélectionner

changer un /include/config.php en /nclude/onfig.php ?

De cette manière les codes malicieux pour utiliser un fichier particulier ne marche plus ? non ?

qu'en pensez-vous ?

merci

[cleden]

Certes ça va embêter les éventuels hackers mais ça va surtout t'embêter toi lors des mises à jour de ton forum.

Je pense que le simple fait de garder ton forum à jour écarte d'office 99% des hacks. En voulant d'avantage de sécurité, tu risque de perdre un temps fou.

[pierre_jean]

le temps c'est pas trop un problème avec les commandes unix ca va tres vite

maj + renommage de fichier ... ca le ferais ?

ou encore une fois c'est inutile ?

[Suede]

Ca changerait pas grand chose.
Pas mal de failles viennent d'injection SQL et là ca en changera absolument rien.

[Druidefou]

Sans compter la modification du code, car tu va du coup appeler des pages qui n'existe pas si tu change leurs noms.

Et comme le dit suede, l'injection SQL pourra quand même se faire. La mise à jour est déjà bien suffisante.

[pierre_jean]

Sans compter la modification du code, car tu va du coup appeler des pages qui n'existe pas si tu change leurs noms.

on peut toujours changer le nom récursivement dans les fichiers

Et comme le dit suede, l'injection SQL pourra quand même se faire. La mise à jour est déjà bien suffisante.

hmmm j'avais pas pensé à ça tiens !

selon vous vraiement inutile ?

[spidetra]

selon vous vraiement inutile ?

Certainement inutile. Bc plus utile une sauvegarde régulière de ta DB, afin de pouvoir restaurer rapidement en cas de hack.

[pierre_jean]

Certainement inutile. Bc plus utile une sauvegarde régulière de ta DB, afin de pouvoir restaurer rapidement en cas de hack.

ok merci pour vos recommandations

[pierre_jean]

si d'autres personnes ont des recommandations ou des ptits trucs de sioux ?

par contre c'est pas juste une sauvegarde de ta BDD ... carrement du serveur complet en cas d'acces root sur le serveur

[spidetra]

si d'autres personnes ont des recommandations ou des ptits trucs de sioux ?

par contre c'est pas juste une sauvegarde de ta BDD ... carrement du serveur complet en cas d'acces root sur le serveur

Je répondais par rapport aux Injection SQL.
Le crack du compte root à partir d'un script de forum, j'ai des doutes quand même.
C'est possible ?

[NobodyElse]

sur les serveurs dédiés et je pense sur les autres pour environ 5 euros par mois ton hébergeur peut te faire une sauvegarde totale (bdd, pages, image disque) quotidienne genre à 4h du mat quand personne n'ecrit sur ton forum histoire que la base ne soit pas vérolée et donc inutilisable à la réinstallation. Le mieux pour protéger un phpBB est de le mettre à jour manuellement et si possible comme on vient de le faire sur un des miens carrément supprimer la fonction highlight dont viennent la plupart des failles c'est prise de tete mais elle ne sert à rien, sauf à surligner les mots recherchés qd tu utilises cette fonction m'enfin on vit plus que bien sans.

pour accéder au root faut s'accrocher, surtout via le forum mais une toute petite faille peut te hacker le forum. dc le mieux c'est d'avoir une sauvegarde quotidienne sur un serveur dédié tu peux la programmer toi même et faire en sorte que tes BDD soient gardées deux ou trois jours ds un fichier zip qui le remplace par le suivant, je ne sais pas si je suis claire. au pire tu perdras un jour ou deux de posts mais c'est quand même mieux que le tout non ? parce qu'en ne gardant qu'une sauvegarde quotidienne si elle est vérolée ca ne sert à rien.

et puis la sauvegarde c'est pas juste la BDD ds un coin du serveur faut la transférer chez toi parce que si ton disque pète lors d'un reboot ou autre ce qui m'est arrivé récemment si tu ne l'as pas chez toi ou que ton hébergeur ne l'a pas chez lui (via option payante) tu peux d'un remballer pour ton forum de deux bien te faire chier à reconfigurer... l'image disque chez l'hébergeur c'est qd même le plus prudent.

donc je resume:

sauvegarde: BDD + pages toi même tous les deux ou trois jours
sauvegarde serveur sur 3 jours en zip qq part
sauvegarde image disque par ton hébergeur
mise à jour manuelle (le mieux) de ton forum surtout les phpBB qui changent souvent.

[pierre_jean]

Merci beaucoup pour la réponse complète ... et sur un mutualisé ?

[NobodyElse]

quand on était en mutualisé on faisait une sauvegarde nous même de la bdd tous les soirs et des pages toutes les semaines plus en cas de grosses modifs. et comme tu peux être hacké le jour où ton pc plante (suis pessimiste je sais ) fais sur cd la sauvegarde hebdommadaire. garde aussi celle de la veille en fait tu gardes J et J-1 (J-2 aussi si tu as la place).

[spidetra]

quand on était en mutualisé on faisait une sauvegarde nous même de la bdd tous les soirs et des pages toutes les semaines plus en cas de grosses modifs. et comme tu peux être hacké le jour où ton pc plante (suis pessimiste je sais ) fais sur cd la sauvegarde hebdommadaire. garde aussi celle de la veille en fait tu gardes J et J-1 (J-2 aussi si tu as la place).

Tu n'es pas pessimiste. Tu es prudent, et tu as raison.

[Szarah]

Sans oublier de faire un test de restauration de la BDD
Des sauvegardes qui ne servent à rien, ... ne servent à rien.