Rechercher :
Accueil » Installation Connexion

Question Comment finaliser l'installation, régler les chmods et sécuriser OsCommerce?
Réponse

Réglez les CHMODS de vos fichiers et repertoires

  • Mettez les configure.php de l'admin et du catalog en lecture seule (chmod444)

  • N'ouvrez les droits en écriture (chmod777) QUE sur les repertoires le nécessitant (images, backup...)

  • Laissez les autres fichiers (chmod644) et répertoires (chmod755) tel qu'ils se règlent automatiquement à l'upload sur votre hébergement

Sécurisez OsCommerce

Notions de base

  • Protéger votre répertoire admin avec htaccess
    Ceux qui veulent en savoir un peu plus sur htaccess et htpasswd, faites un tour sur phpdebutant.org et Le site d'Apache.
    L'idéal reste un accès l'Admin en HTTPS, car le login/passwd htaccess passent en clair a travers le réseau.

  • Crypter le mot de passe pour htaccess

  • Choisir vos mots de passe :
    Ne JAMAIS utiliser un mot de passe existant dans le dictionnaire : il existe des softs permettant de tester des milliers de mots de passe.
    Mélangez des lettres (minuscules et majuscules), des chiffres... du genre uBn1a2!hY

Notions spécifiques OsCommerce

  • Règle essentielle, personnalisez vos répertoires : n'appelez pas votre répertoire administration " admin ". Renommez le obligatoirement et changez la ligne define('DIR_WS_ADMIN', 'adresse-du-repertoire-admin') du fichier configure.php en conséquence.
    RAPPEL : il est possible d'héberger l'administration sur un autre serveur.

  • Insérer un fichier vide appelé index.html dans tous vos répertoires images.

  • Pour ceux qui ont un hébergeur mutualisé, genre AMEN, PROTEGEZ votre répertoire www.nomdedomaine.com/stats par un htaccess. Il contient TOUS les accès détaillés de toutes vos pages.


Cette page a été réalisé avec l'aide d'Aurélien Cabezon de isecurelabs.com & Benoît ESTRADE


UTILISATION DU HT ACCESS

1- créer un fichier s'appelant .htaccess dans le repertoire à protéger (attention le . est INDISPENSABLE il faut, sous windows, renommer le fichier en ftp). Si le fichier htaccess existe déjà, vous pouvez vous contenter d'ajouter les lignes suivantes.
Le htacess contiendra:
Order Deny,Allow
Deny from all
AuthUserFile chemin_physique/repertoire/.htpassword
AuthName "Identification requise"
AuthType Basic
require valid-user
Satisfy Any

2- crypter son mot de passe Pour calculer le cryptage, utilisez un site le proposant, par exemple raptor.golden.net, ou igalaxie, ou celui que propose probablement votre hébergeur
Attention, certains hébergeurs (free par exemple) ne cryptent pas les password (c'est une abération du point de vue sécurité mais ça existe...).

3- créer un fichier s'appelant .htpassword (attention le . est INDISPENSABLE). Le placer dans un repertoire au bout du chemin_physique Le htpassword contiendra:
login:password_crypte

4- pour parfaire la sécurité, rien n'empêche de nommer le fichier .htpassword comme on veut (tant que le nom commence par un point) et de le placer dans un repertoire différent du répertoire à protéger tant que le chemin indiqué dans le .htaccess est juste. Il est même possible de vérouiller completement ce répertoire secret avec lui même un .htaccess "deny from all"

Les erreurs classiques si tout ne fonctionne pas
- l'absence de point (.) pour les noms de .htaccess et .htpassword
- le cryptage (ou non) du mot de passe
- une erreur dans le chemin_physique/repertoire/
Pour être sûr du chemin, une petite ruse consiste placer un script dans le repertoire que l'on nomme realpath.php, avec comme contenu:
<? echo realpath("realpath.php"); ?>
et d'aller le lire avec son navigateur "http://www.monsite.com/repertoire/realpath.php" Le chemin physique s'affiche alors à l'écran

thats all folks
Auteur : xaglo Mise à jour le 07/08/2009

Retour