Discussion :

[Xenon03]

Bonjour à toutes et à tous.

Je suis en train de réaliser le site de mon club de foot, et j'aimerais sécuriser son administration.

Pour cela, j'ai suivi plusieurs conseils et tutos et j'ai mis en place les controles suivants :

- Mon dossier ne s'appele pas "Admin" (c'est con mais bon...)
- J'ai mis un HT Access
- Derriere le HT Access j'ai une interface de connexion, elle même sécurisée:
=> Impossible de tenter de se connecter plus de 10 fois tous les quarts d'heure
=> Impossible de tenter de se connecter plus d'1 fois par seconde
=> Si 10 tentatives en 1 quart d'heure => Envoie d'un mail a l'admin avec l'IP de la personne (avec un lien permettant de bloquer cet IP)

Je pense que cela permettra aux "petits malins" de se casser les dents un moment, mais comment sécuriser encore + le site ?

J'attend vos astuces

[darkstar123456]

- Utiliser les sessions avec login/mdp depuis une base de données
- crypter les informations du cookie (s'il y en a un) avec un keyphrase
- placer les fichiers sensibles (fichier de config sql, etc) dans un sous répertoire au root HTTP

Normalement, rien que c'est 3 trucs là avec un .htaccess est suffisant