Petit conseil aux webmestres qui éditent leur prod en direct

Filed under: Généralités — Un commentaire

18 juillet 2013

À l’attention des personnes qui éditent leur site en direct (c’est très mal) et/ou qui oublient de supprimer leurs fichiers de sauvegarde avant de mettre en production, ce tweet devrait vous faire réfléchir…

Un hack de brute bête et méchant.

Si vous éditez rapidement vos pages sur place et/ou que vous faites une copie de sauvegarde, les fichiers de sauvegarde que vous créez restent disponibles par défaut, et ne seront pas interprétés comme des scripts. Il devient facile d’accéder à votre code source et donc, éventuellement à des données sensibles comme les crédentiels de votre base de données par exemple.

Si vous êtes sur Apache, vous pouvez ajouter ceci dans votre fichier de configuration principal pour colmater cette vulnérabilité:

<Files ~ "(\.(bak|old)|\~)$">
    Order allow,deny
    Deny from all
    Satisfy all
</Files>

Pour terminer, relancez l’indien (^_–) ~ ☆

Étiquettes : sécurité, tutoriel

Comments RSS feed

1 Comment:

VPN review site

3 avril 2015 à 21:14

Simply wish to say your article is as surprising.
The clarity on your put up is just great and that i could assume
you are an expert on this subject. Fine together with your permission allow me to take hold of your feed to stay up to date with imminent post.

Thanks one million and please keep up the gratifying work.

Votre commentaire

Entrez votre commentaire...

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

E-mail (obligatoire) (adresse strictement confidentielle)

Nom (obligatoire)

Site web

Vous commentez à l’aide de votre compte WordPress.com. ( Déconnexion / Changer )

Vous commentez à l’aide de votre compte Twitter. ( Déconnexion / Changer )

Vous commentez à l’aide de votre compte Facebook. ( Déconnexion / Changer )

Annuler

Connexion à %s

Geoffroy Gramaize