Se proteger contre le piratage de site web?

Résolu/Fermé
Cissou1334 -  
lock2007 Messages postés 1 Statut Membre -
Bonjour,

nous avons constaté ce matin que notre site web a été piraté, notre fichier index.php a été renommé index2.php et a été remplacé par un fichier index.php signé par le pirate.

A part changer les mots de passe ftp et sql par des mots de passe plus complexes que peut on faire pour proteger son site web?

ou quelles failles sont elles à corriger et comment ??

Merci

Cissou

5 réponses

  1. Dearth
     
    Je sais que le sujet est assez vieux mais mieux vaut tard que jamais
    tu peux te protéger des failles XSS déjà en inserant un code php 
    <?php
$_POST['com']=htmlentities($_POST['com']);
?>

    déjà une petite protection des injections sql tu peux utiliser le fameux code 
    mysql_real_escape_string()

    et donc qui permettrai d'échapper à tout les caractères spéciaux 
    function quote_smart($value)
{
 //Stripslaches
   if (get magic_quotes_gpc()) {
//si le magic_quotes_gpc est activé
  $value = stripslashes ($value);
}
//si les quotes ne sont pas intégrer
if (!is_numeric($value)) {
$value = "'". mysql_real_escape_string($value) . "'";
}
return $value;
}
$nom= quote_smart($_POST['value']) ;
$sql= "INSERT INTO identite (nom VALUES ('$nom')";


    Voilà en espérant aider ceux qui l'ont lue
    10
    1. Laeti
       
      Merci pour ton message, j'ai copié tes lignes de codes.
      0
  2. sebsauvage Messages postés 33284 Date d'inscription   Statut Modérateur Dernière intervention   15 684
     
    Il n'y a pas de script miracle qui va protéger ton site.

    Si tu as installé un logiciel dessus (wordpress, dotclear, phpbb...) il faut bien suivre et installer les mises à jour de ces logiciels.

    Si c'est un développement fait maison, il faut bien le sécuriser (cookies, cross-site scripting, sql injection...). En Googlant on trouve des informations sur les failles les plus fréquentes des applications web :
    Cross-site scripting
    Injection SQL

    Et enfin, FAIRE DES BACKUP COMPLETS DU SITE.
    Fichiers, base de données et le reste.
    9
  3. lock2007 Messages postés 1 Statut Membre
     
    Bonjour,
    Il faut savoir que l'upload d'un fichier index sur ton blog ne se fait qu'avec un simple démarche :
    1- injecter ton lien avec SQL INJECTION
    2- accèder à la base
    3- Savoir le mot de passe admin
    4- entrer à l'interface admin et faire l'upload d'un fichier CODE SHELL qui permet d'avoir accès à distance de ton blog.

    Alors pour se protéger, il faut fermer la porte (INJECTION SQL) en utilisant des contrôles sur les variables entrées par l'internaute :
    ex : si ton blog est sous la forme : www.monblog.com
    le pirate va voir un lien de ce genre : www.monblog.com?id=51
    il va essayer de vérifier s'il y a une faille en mettant ' :
    www.monblog.com?id=51'
    et s'il y'aura des erreurs qui apparaitront avec changement de contenu alors c bon il commence à mettre des requêtes SQL.

    Donc vaut mieux apprendre comment se protéger contre ces failles en utilisant :
    mysql_real_escape_string() .

    Autre chose : vérifier aussi en mettant le mot de passe suivant pour accéder à l'espace admin : ' OR 1=1
    est ce que ca passe ou non
    Bonne chance
    4
  4. Utilisateur anonyme
     
    Merci de ta répons c'est sympa :)
    je ne l'avais pas vus *
    ++
    1

  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gueht
     
    Bonjour,

    Apres avoir lu votre discussion, je vous conseil les documents d'Evadoc (http://www.evadoc.com) sur la securite informatique et la protection de ses donnees et de ses sites , notamment celui ci http://www.evadoc.com/doc/1354/se-proteger-sur-internet

    et plus generalement : http://www.evadoc.com/category/Informatique-et-Tutoriels

    A bientot,
    1

Discussions similaires

Site fiable de contrefaçon
AhmedAMG -
Raymond PENTIER -

2 réponses