Bonjour à tous et merci par avance !
je m'occupe d'un serveur web (redhat as4 + apache 2.2.6 + php 5.2.5 ) +
autre serveur mysql (4.1.8)
c'est un serveur mutualisé
la "communauté" à le droit de mettre ce qu'il "veut" comme site internet
je veux dire par la, du html, du php-mysql fait à la main, des cms : joomla
spip guppy .....
Apache est sécurisé autant qu'on a pu le faire et selon nos connaissances
dans les cms ils peuvent rajouter des extensions (gallerie photos, agenda,
....)
Le problème c'est qu'il y a des failles de sécurité sur les extensions
(aussi sur les cms)
Plusieurs gallerie photos, qui possédent des scripts d'upload (normalement
que pour des photos) ont des permissivités ....
Et on se retrouve avec des pages de pishing ou sur les casinos de jeux ...
Les webmasters ayant du mal à suivre l'évolution des mises à jours des cms +
extensions ne sont pas forcément à jour ... et je peux les comprendre etant
donné le travail que cela donne. Ce ne sont pas des pros
J'aimerais avoir des conseils pour éviter ce type de problèmes ... même si
je sais que le risque zero n'existe pas !
Merci de me donner vos solutions propres même si je vous donne les pistes
sur lequelles on travaille et dont je ne sais pas si elles sont bonnes :
-restreindre l'installation à un type de cms et quelques extensions
(forcément on réduira le risque et nous pourrons réagir plus vite en cas de
faille déclarée .... mais le service est moindre)
-mettre sur le serveur un analyseur de trafic (ou quelque chose de ce genre)
qui détecte les comportements "inhumains", ceux qui font des accès très
rapide à des ressources ...
qui connaissent malgrès tout les robots
qui a des mots interdits (sexe, viagra, casino ...)
je connais rien du tout dans ce domaine mais je pense que ça existe ... est
ce que vous avez des noms ?
- passer par une entrepise privée spécialisée dans l'hébergement ... dans ce
cas, plus de serveur web
Si éventuellement il y a des spécialistes qui peuvent établir des factures
... pourquoi pas une proposition de conseil plus personnalisé
Merci
Fred
Diffusez cette liste aupres de vos relations :-)
Linux Azur : http://linux-azur.org
Vous etes responsable de vos propos.
*** Pas de message SMS, HTML ni de PJ SVP ***
