Tentative de piratage : petits conseils

[GillesNew]

bonjour à tous :

Mon site a été victime cette semaine d'un piratage : tous les index.php du site (et ils sont nombreux) ont été modifiés au profit d'une page écrite en langue Arabe.

Suite à l'audit, mon hébergeur (PlanetHoster) a détecté une faille de sécurité dans le sript PHP. Que nles connaisseurs ne me demandent pas la ligne concernée car je ne suis pas un programmateur.

Mais il ressort que le retour à la normale a été rendu possible rapidement pour les 2 raisons suivantes :

1- ne pas mettre l'installation de PS à la racine mais dans un répertoire bien dédié ("public_html" dans le cas de cet hébergeur). Ceci évite que le pirate remonte à la racine de votre site et puisse endommager l'ensemble de votre site et de vos données.

2 - ne surtout pas mettre des CHMOD 777 comme je le lis un peu partout sur les forum. Ce type d'autorisation doit être limité au maximum, faute de quoi, le pirate peut déposer n'importe quel exécutable et le lancer à distance (suppression des données par exemple).

Je ne suis pas un programmateur, vous l'avez compris, mais j'ai suivi ces 2 règles simples dès le début, et elles viennent de porter leurs fruits.
Si ces petits conseils peuvent éviter à l'avenir que des pirates viennent chez vous, j'en suis ravi ....

Bonne journée

[Seo Organique]

( et faire des backups aussi...;-)

[GillesNew]

Très juste Aline, et même là, il y a des petits conseils à suivre à mon avis :

1 - dans le BO il y a possibilité d'un BACK UP de la base. Mais dans mon cas, celui ci ne fait que 300 Ko et je pense que les photos (par exemple) ne doivent pas être dans le backup, même s'il est compressé ? Ni certaines modifications de structure de PrestaShop.
Ceci dit, dans ce cas, on doit également penser à télécharger une copie de ce fichier en local si on a pris la solution hébergé.

2 - chez mon hébergeur, il y a beaucoup plus interessant afin de retrouvrer plus rapidement un accès à la normale en cas de piratage : une sauvgarde TOTALE et complète de tout le site en passant via le CPANEL.
Et pour vérouiller le tout, seuls leurs administrateurs ont autorité sur cette sauvegarde et sur une éventuelle restauration.

Bref, je pense qu'avec toutes ces petites ruses, nous devrions voir passer moins de fils sur le forum Prestashop de victimes de pirates ....

[cramlerrut]

Bonjour,

vous préconisez de ne pas mettre des CHMOD 777, mais le wiki prestashop indique un certain nombre de dossiers
à mettre justement en 777 !
J'y perd un peu mon latin, dans ces questions de cHMOD, et malheureusement
assez peu de topo clair pour les débutants sur le forum.
Slts

[moncler]

pour backuper tous le site il y a des outils tres pratique pour ca, par exemple winscp qui fait de la sauvegarde incremental (en ssh)
mm la bd est sauvegarder

[GillesNew]

Bonjour,

vous préconisez de ne pas mettre des CHMOD 777, mais le wiki prestashop indique un certain nombre de dossiers
à mettre justement en 777 !
Slts

Alors nous sommes dans le même cas : je pense que ce problème est l'affaire de spécialistes, et qu'un recours à une agence spécilisée (il y en a plein sur le forum) est vivement conseillée concernant la mise en place d'une architecture "propre".
Malheureusement, cela a un cout...

[Captain FLAM]

Bonjour à tous,

Je suis programmeur indépendant.

J'ai mis récemment en place une solution anti-piratage
pour les sites web de mes clients qui pourrait vous intéresser ...

Appelez-moi :

Sur Skype : captain_flam_88

Cordialement.