bonjour je ne suis pas administrateur de serveur mais je developpe parfois des extensions pour joomla et drupal bien sur la base des bases est de sauvegarder frequemment le serveur et separant les logs par compte utilisateur pour deceler la source d'une attaque
si une personne installe une extension qui ne respecte pas les conditions de securite du cms, l'administrateur du serveur en lui meme ne peut rien faire par exemple, les pages perso de free sont verrouillees a donf pour restreindre plein de choses mais ca n'empeche pas des gogos de se faire pirater leur site bien sur il y a des parametres de php a configurer pour eviter certaines choses mais au detriment des possibilites d'hebergement je crois qu'un rappel frequent des regles elementaires de securite aux utilisateurs est une bonne chose sinon, une solution peut etre de proposer une installation automatique des cms a partir de fantastico ou autre systeme ce qui permettrait de mettre a jour les cms automatiquement (par contre si une extension est mal faite ca changera pas le probleme ) concernant les conseils de securite sur joomla, je connais ces liens : http://developer.joomla.org/security/articles-tutorials/260-joomla-administrators-security-checklist.html http://docs.joomla.org/Top_10_Stupidest_Administrator_Tricks et drupal : http://drupal.org/security/secure-configuration Le 16 juin 2009 10:26, fred0655 <[email protected]> a écrit : > Bonjour à tous et merci par avance ! > > je m'occupe d'un serveur web (redhat as4 + apache 2.2.6 + php 5.2.5 ) + > autre serveur mysql (4.1.8) > c'est un serveur mutualisé > > la "communauté" à le droit de mettre ce qu'il "veut" comme site internet > je veux dire par la, du html, du php-mysql fait à la main, des cms : joomla > spip guppy ..... > Apache est sécurisé autant qu'on a pu le faire et selon nos connaissances > > dans les cms ils peuvent rajouter des extensions (gallerie photos, agenda, > ....) > > Le problème c'est qu'il y a des failles de sécurité sur les extensions > (aussi sur les cms) > Plusieurs gallerie photos, qui possédent des scripts d'upload (normalement > que pour des photos) ont des permissivités .... > > Et on se retrouve avec des pages de pishing ou sur les casinos de jeux ... > > Les webmasters ayant du mal à suivre l'évolution des mises à jours des cms > + extensions ne sont pas forcément à jour ... et je peux les comprendre > etant donné le travail que cela donne. Ce ne sont pas des pros > > > J'aimerais avoir des conseils pour éviter ce type de problèmes ... même si > je sais que le risque zero n'existe pas ! > > > Merci de me donner vos solutions propres même si je vous donne les pistes > sur lequelles on travaille et dont je ne sais pas si elles sont bonnes : > > -restreindre l'installation à un type de cms et quelques extensions > (forcément on réduira le risque et nous pourrons réagir plus vite en cas de > faille déclarée .... mais le service est moindre) > > -mettre sur le serveur un analyseur de trafic (ou quelque chose de ce > genre) qui détecte les comportements "inhumains", ceux qui font des accès > très rapide à des ressources ... > qui connaissent malgrès tout les robots > qui a des mots interdits (sexe, viagra, casino ...) > je connais rien du tout dans ce domaine mais je pense que ça existe ... est > ce que vous avez des noms ? > > - passer par une entrepise privée spécialisée dans l'hébergement ... dans > ce cas, plus de serveur web > > Si éventuellement il y a des spécialistes qui peuvent établir des factures > ... pourquoi pas une proposition de conseil plus personnalisé > > Merci > > Fred > Diffusez cette liste aupres de vos relations :-) Linux Azur : http://linux-azur.org Vous etes responsable de vos propos. *** Pas de message SMS, HTML ni de PJ SVP ***
