Avant propos
Pragmamx est particulièrement bien protégé des hackers grace à bon nombres d'options et réglages qui vous permettent d'avoir une sécurité optimum. Ainsi, le CMS se suffit à lui même contre les attaques et vous n'avez nul besoin de rajouter d'autres extensions pour assurer cette sécurité.
Cependant la principale sécurité du système, c'est vous !!!
Même si nous ne pouvons pas vous assurer un système 100 % secure (Aucun CMS ne peux vous l'assurer d'ailleurs), voici une liste de différents principes que vous devez connaitre pour éviter de vous exposer aux intrusions.
Installation de PragmaMx
Respectez bien les consignes d'installation et supprimez absolument le repertoire /install une fois PragmaMx installé.
Le mot de passe super administrateur (Dieu) ne doit pas être du style (123456, admin, etc...), choissisez un mot de passe complexe (Chiffres, lettres, minuscules, majuscules, caractères spéciaux) à partir de 10 caractères. Ex: S9b1&1wrXh
Si vous voulez aller plus loin dans la sécurité, créer un deuxième compte administrateur (Super utilisateur) que vous utilisez tous les jours pour gérer votre site. Ainsi, vous gardez au chaud sans l'utiliser le compte super administrateur (Dieu) au cas où.
Les CHMOD
Certains fichiers ont besoins d'être CHMODé pour permettre l'écriture, normalement PragmaMx gère automatiquement le CHMOD de ces fichiers. Cependant (et c'est mon cas), sur certaines configuration serveur le CHMOD doit être effectué manuellement. Ainsi, certains fichiers doivent être CHMODé en 666 pour permettre l'écriture (Par exemple: Config.php qui correspond aux réglages des préférences dans votre panneau administration).
Ainsi, une fois tous vos réglages effectués dans vos préférences et que vous n'avez plus besoin d'effectuer d'autres changements, vous pouvez CHMODé ce fichier config.php en 644. Vous pouvez faire de même pour les autres fichiers qui nécessitent un CHMOD en 666, une fois tous vos réglages effectués mettez les en 644. La manipulation inverse est ensuite possible si des changements doivent être effectués.
Cas particulier des répertoires d'envoi
Les répertoires d'envoi, (ex: image/iupload/) doivent être en 777 pour autoriser l'envoi (images, données, etc...). Le CHMOD ne peux pas être diminué car l'envoi ne sera plus possible. Deux possibilités s'offrent à vous:
- Vous utilisez les répertoires d'envoi (Ex: pour l'éditeur)
Autorisez alors seulement les administrateurs où les personnes de confiance à envoyer des données sur votre serveur. Ne donnez pas accès aux envois à vos visiteurs.
- Vous n'utilisez pas les répertoires d'envoi
Diminuez au maximum le CHMOD pour ces répertoires, rappelez-vous ce principe général: Plus le CHMOD est grand plus les risques sont grands.
Les modules
Les modules intégrés à pragmaMx ont été vérifiés et sont fiables au niveau sécurité.
Cependant, si vous voulez améliorer votre sécurité. Il convient de désactiver ou de supprimer les modules que vous n'utilisez pas. Une réinstallation ultérieure étant toujours possible.
Les modules externes (php-nuke) non validés PragmaMx sont souvent un risque pour la sécurité de votre site. De nombreux modules sont utilisables sans soucis, mais dans le doute posez-nous la question sur notre forum.
Les sauvegardes
Vous devez absoluement effectuer des sauvegardes de votre site , ainsi en cas de souçis, un retour à la dernière sauvegarde est toujours possible.
- Sauvegarde des fichiers via votre logiciel FTP
Celle-ci doit être renouvellée à chaque changement sur vos fichiers
- Sauvegarde base de données via l'administration ou phpmyadmin
Celle-ci doit être régulière et au minimum hebdomadaire (La base de données contient toutes les informations écrites sur votre site
Les visiteurs
Le principe c'est de considérer que tout ce qu'envoie l'utilisateur est
potentiellement un contenu dangereux et cela couvre les cookies, tous les champs
de formulaires (caché, select, radio, checkbox, password), les fichiers uploadés
et bien évidemment ce qui passe par l'url.
Sans rentrer dans la paranoîa, laissez un minimum d'accès aux visiteurs (Blocs/modules/etc...) surtout en ce qui concerne les envois (ex: upload de fichiers qui sont à proscrire pour les visiteurs). De toute façon si un visiteur est intéressé par votre site il s'enregistrera.
Si vous voulez être encore plus "secure", vous pouvez vérifier avant de validez les demandes d'inscription ;-)
Les mises à jour
On ne le dira jamais assé, les mises à jour sont à effectuer OBLIGATOIREMENT lorsqu'elles sortent. Elles peuvent être pour un module (ex: mx-Coppermine) ou le CMS en lui même. Les mises à jour peuvent vous apporter de nouvelles fonctionnalités mais sont surtout là pour corriger bugs et problèmes de sécurité. Vous êtes prévenus.
Je ne veux pas voir dans le Forum un hack parcequ'une mise à jour n'a pas été effectuée, ce n'est pas pour moi que je dis cela mais c'est surtout pour vous. En plus, avec l'upgradeur PragmaMx tout est simplifié, vous n'avez plus d'excuse :-)
