Discussion :

[Marc31]

BOnjour,

J'aimerais savoir comment vérifier si son site web est correctement sécurisé?

Et savoir qu'elles sont les choses obligatoires à faire en terme de sécurité?

Bonne journée

[Geoffrey74]

Salut,

un conseil, qui vaut ce qu'il vaut, mais, en matière de sécurité, je me dis toujours que rien n'est assez sécurisé, et que pour chaque action que tu fais, il faut toujours se demander comment la sécuriser au max.

Sinon il y a les basiques, protéger les requêtes SQL contre les injections, ne rien stocker de personnel dans les cookies et les sessions, uniquement de quoi identifier à coup sûre l'utilisateur.
Pensez à protéger les URL aussi.

Toujours penser à vérifier la saisie utilisateur côté serveur !
Interdire l'accès à tous les répertoires systèmes.

Il il y a surement d'autre "règles" qui m'échappe.

Bonne soirée.

[Inazo]

Bonjour,

Tu peux aussi te renseigner sur tout les types d'attaques qui existent comme notamment les LFI / RFI, faille d'upload injection d'objet. Tu vas devoir aller chercher pas mal de documentation si tu veux t'en sortir seul.

Mais la meilleur idée c'est de demandé un peu d'aide de temps en temps pour auditer ton code.

Autre point tu postes dans PHP 5.5 premier conseil d'expert : change de version de PHP vers une plus récente au moins la 5.6 et si tu peux la 7.

Après si tu utilise un CMS ou des librairies tiers toujours bien veiller à ce qu'elles soient à jour. Il te faudra aussi veiller à la bonne sécurité du serveur ou est hébergé le site en question.

Bref la sécurité doit être incorporé au début du projet et prendra une part importante, mais si tu la traites à la fin cela sera encore plus compliqué.

@+

[Marc31]

Je code en php et je suis sur un serveur partagé.
Le hachage md5 c'est obsolete?
Lorsqu'il y a un forulaire faut il faire un captcha?
Comment interdire l'acces au repertoire?
Comment proteger les urls?
Bonne soirée

[Geoffrey74]

Salut,

oui le md5 c'est "obsolète".
Pour protéger un mot de page, j'utilise hash de php (http://php.net/manual/fr/function.hash.php) avec un salage unique pour chaque mot de passe.

Le captcha ça t'évite d'avoir des données saisies par des robots, ça évite les spams, je te le conseil donc.

Pour interdire l'accès à tes répertoires, tu modifies les droits d'accès via ton ftp.
Tu peux ajouter aussi, dans un fichier .htaccess a la racine de ton site, cette ligne : Options -Indexes
Cela empêche de lister le contenu d'un répertoire.

Pour protéger les URLs, passes par l'URL rewriting, cela te permet de définir clairement le type de variables autorisés, et de bloquer toutes celles qui ne le sont pas.

[Spartacusply]

La meilleure manière de crypter un mot de passe est la méthode password_hash qui s'occupe elle même de générer un bon salt.

Pour vérifier ensuite qu'un mot de passe est correct il est nécessaire d'utiliser la fonction password_verify