Jump to content
Sign in to follow this  
lalacroix

securité config

Recommended Posts

Bonjour

j'ai constaté qu'il était très facile d'aspirer un site web sous prestashop avec dedans le fichier de config complet et en clair de la base de données.

existe-t-il un correctif pour cela car n'importe qui peut pirater un site et saisir directement des données dans une base avec serveur, login et password.

merci laurent lacroix

Share this post


Link to post
Share on other sites

si le fichier htacess est bien configuré cela ne doit pas se passer

Share this post


Link to post
Share on other sites

SetEnv PHP_VER 5
# URL rewriting module activation
RewriteEngine on



deny from all



# Catch 404 errors
ErrorDocument 404 /404.php



# URL rewriting rules
RewriteRule ^([a-z0-9]+)\-([a-z0-9]+)(\-[_a-zA-Z0-9-]*)/([_a-zA-Z0-9-]*)\.jpg$ /img/p/$1-$2$3.jpg [L,E]
RewriteRule ^([0-9]+)(\-[_a-zA-Z0-9-]*)/([_a-zA-Z0-9-]*)\.jpg$ /img/c/$1$2.jpg [L,E]
RewriteRule ^lang-([a-z]{2})/([a-zA-Z0-9-]*)/([0-9]+)\-([a-zA-Z0-9-]*)\.html(.*)$ /product.php?id_product=$3&isolang;=$1$5 [L,E]
RewriteRule ^lang-([a-z]{2})/([0-9]+)\-([a-zA-Z0-9-]*)\.html(.*)$ /product.php?id_product=$2&isolang;=$1$4 [L,E]
RewriteRule ^lang-([a-z]{2})/([0-9]+)\-([a-zA-Z0-9-]*)(.*)$ /category.php?id_category=$2&isolang;=$1 [QSA,L,E]
RewriteRule ^([a-zA-Z0-9-]*)/([0-9]+)\-([a-zA-Z0-9-]*)\.html(.*)$ /product.php?id_product=$2$4 [L,E]
RewriteRule ^([0-9]+)\-([a-zA-Z0-9-]*)\.html(.*)$ /product.php?id_product=$1$3 [L,E]
RewriteRule ^([0-9]+)\-([a-zA-Z0-9-]*)(.*)$ /category.php?id_category=$1 [QSA,L,E]
RewriteRule ^content/([0-9]+)\-([a-zA-Z0-9-]*)(.*)$ /cms.php?id_cms=$1 [QSA,L,E]
RewriteRule ^([0-9]+)__([a-zA-Z0-9-]*)(.*)$ /supplier.php?id_supplier=$1$3 [QSA,L,E]
RewriteRule ^([0-9]+)_([a-zA-Z0-9-]*)(.*)$ /manufacturer.php?id_manufacturer=$1$3 [QSA,L,E]
RewriteRule ^lang-([a-z]{2})/(.*)$ /$2?isolang=$1 [QSA,L,E]

Share this post


Link to post
Share on other sites

Merci pour la config

je suis en train de faire un test d'aspiration pour voir si la select est bonne.

Pourquoi certains modules sont téléchargés alors que module est bien en deny all?

laurent lacroix

Share this post


Link to post
Share on other sites

Merci pour cette config du fichier htaccess, l'aspiration a bien été limitée a certains fichiers.

ce genre de recommandation devrait peut être incluse directement dans la version de prestashop, ca montre une sécurité supplémentaire du produit.

le post peut-être placé en résolu.

merci laurent

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More