Discussion :

[Marc31]

BOnjour,

J'aimerais savoir comment vérifier si son site web est correctement sécurisé?

Et savoir qu'elles sont les choses obligatoires à faire en terme de sécurité?

Bonne journée

[Geoffrey74]

Salut,

un conseil, qui vaut ce qu'il vaut, mais, en matière de sécurité, je me dis toujours que rien n'est assez sécurisé, et que pour chaque action que tu fais, il faut toujours se demander comment la sécuriser au max.

Sinon il y a les basiques, protéger les requêtes SQL contre les injections, ne rien stocker de personnel dans les cookies et les sessions, uniquement de quoi identifier à coup sûre l'utilisateur.
Pensez à protéger les URL aussi.

Toujours penser à vérifier la saisie utilisateur côté serveur !
Interdire l'accès à tous les répertoires systèmes.

Il il y a surement d'autre "règles" qui m'échappe.

Bonne soirée.

[Inazo]

Bonjour,

Tu peux aussi te renseigner sur tout les types d'attaques qui existent comme notamment les LFI / RFI, faille d'upload injection d'objet. Tu vas devoir aller chercher pas mal de documentation si tu veux t'en sortir seul.

Mais la meilleur idée c'est de demandé un peu d'aide de temps en temps pour auditer ton code.

Autre point tu postes dans PHP 5.5 premier conseil d'expert : change de version de PHP vers une plus récente au moins la 5.6 et si tu peux la 7.

Après si tu utilise un CMS ou des librairies tiers toujours bien veiller à ce qu'elles soient à jour. Il te faudra aussi veiller à la bonne sécurité du serveur ou est hébergé le site en question.

Bref la sécurité doit être incorporé au début du projet et prendra une part importante, mais si tu la traites à la fin cela sera encore plus compliqué.

@+

[Marc31]

Je code en php et je suis sur un serveur partagé.
Le hachage md5 c'est obsolete?
Lorsqu'il y a un forulaire faut il faire un captcha?
Comment interdire l'acces au repertoire?
Comment proteger les urls?
Bonne soirée

[Geoffrey74]

Salut,

oui le md5 c'est "obsolète".
Pour protéger un mot de page, j'utilise hash de php (http://php.net/manual/fr/function.hash.php) avec un salage unique pour chaque mot de passe.

Le captcha ça t'évite d'avoir des données saisies par des robots, ça évite les spams, je te le conseil donc.

Pour interdire l'accès à tes répertoires, tu modifies les droits d'accès via ton ftp.
Tu peux ajouter aussi, dans un fichier .htaccess a la racine de ton site, cette ligne : Options -Indexes
Cela empêche de lister le contenu d'un répertoire.

Pour protéger les URLs, passes par l'URL rewriting, cela te permet de définir clairement le type de variables autorisés, et de bloquer toutes celles qui ne le sont pas.

[Spartacusply]

La meilleure manière de crypter un mot de passe est la méthode password_hash qui s'occupe elle même de générer un bon salt.

Pour vérifier ensuite qu'un mot de passe est correct il est nécessaire d'utiliser la fonction password_verify

[Inazo]

Le plus possible il faut aussi limiter les accès aux répertoires. Pour cela deux techniques :

1 : mettre un fichier index.html à la racine de tous les répertoire (fichier vide c'est suffisant)
2 : utiliser le .htaccess pour contrôler l'accès aux répertoires et même aux fichiers.

Mais il y a aussi bien d'autre chose notamment en PHP utilise PDO pour faire tes requêtes SQL en n'oubliant en pas le "prepare" tu trouveras toutes les informations relative dans la documentation officiel.

@+

[Marc31]

Pour le htaccess, j'ai pas saisis l'intérêt de mettre un index.tml?

[Invité]

j'ai pas sais l'intérêt de mettre un index.tml?

Merci de te relire.... et corriger.

De plus, la réponse est dans le message précédent. Merci aussi de LIRE ce qu'on écrit.

[Tsilefy]

Pour la sécurité de tes utilisateurs, passes en https. C'est gratuit avec Let's encrypt , et en plus ça améliorera ton rang sur Google.

[ABCIWEB]

Salut,

Le chapta dans les formulaires, ça dépend quand même du contexte, faut pas que cela devienne un handicap majeur pour les visiteurs donc pas en mettre systématiquement partout.

Concernant la sécurité web en complément des conseils déjà donnés tu peux aussi faire des recherches sur le mot "owasp" (Open Web Application Security Project).

[Marc31]

Pour le https c'est compliqué à mettre en place ou pas? ensuite je suis sur un serveur mutualisé, ça pose pas de probleme?

[ABCIWEB]

Cela dépend de ton hébergeur. Chez OVH par exemple qui propose ce service gratuitement sur les mutualisés, c'est juste une case à cocher. Dans un premier temps cherches des infos chez ton hébergeur.

[Marc31]

Ok je vais regarder ça et si je change en https, le code que j'ai fais fonctionnera, où il faudra que je le modifie?

[Geoffrey74]

Si tu as des URLs saisie en dur dans ton code, il faudra les modifier, sinon, aucune autre modif.

[Marc31]

Ok j'ai bien le SSL d'activé mais je ne sais pas comment faire pour rajouter le https..?

[Geoffrey74]

Rajoute ça dans ton fichier .htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
RewriteEngine on
 
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

[Marc31]

Ok merci je vais tester.

[Marc31]

Je n'ai pas trouvé le fichier .htaccess...
il faut le créer ou pas?

[Geoffrey74]

Oui, si tu le ne trouve pas, crée le

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

.htaccess