mar 15 2010

Webmestre

Par stick

– Newsletter No 3 - Lundi le 15 Mars 2010

Propulsé par coopterre.net

Partenaires

Small Hr

Small Hr

Forward

Vous êtes ?

Inscrivez gratuitement votre site web dans notre annuaire. Vous recevrez automatiquement à toutes les semaines.

Si vous n’avez pas encore de site web, suivez ce lien pour vous inscrire à .

Small Hr

No 3 - Lundi le 15 Mars 2010

Small Hr

Astuce pour sécuriser vos fichiers d’administration

Les expressions régulières suivantes, si vous les ajoutez dans votre .htaccess à la racine de votre site, vous permettront de virtuellement faire disparaitre certains fichiers et/ou répertoires.

###

RewriteCond %{HTTP_USER_AGENT} !.*69587547-AF.*

RewriteCond %{REQUEST_URI} .*/admin/.* [OR]

RewriteCond %{REQUEST_URI} .*admin\.php.*

RewriteRule (.*) – [G]

###

Explication:

La première ligne vérifie si le client présente le code secret 69587547-AF, qui peut être caché n’importe où dans la variable HTTP_USER_AGENT, transmise par votre navigateur. En fait, le « ! » sert de négation pour exclure seulement ce client de la règle. 69587547-AF est un code secret arbitraire, que vous devez modifier à votre guise.

La 2e ligne et la 3e ligne, informent le serveur que la règle ne s’applique qu’aux répertoires « admin » et aux fichiers nommés « admin.php » n’importe où sur votre site. Encore là, libre à vous d’ajouter des lignes et modifier les noms à votre convenance.

La 4e ligne retourne une erreur 410 « gone » à tous les autres clients. Donc, personne ne peut voir vos fichiers d’administrations sans présenter 69587547-AF dans son USER_AGENT!

Si vous utilisez Firefox, vous n’avez qu’a télécharger le module user agent switcher afin de pouvoir ajouter votre code secret au USER_AGENT de FireFox. Pour les autres navigateurs, vous trouverez facilement d’autres modules similaires en cherchant sur le web…

Vous pouvez utiliser le site web anglophone WannaBrowser pour faire des tests de requêtes vers votre site web avec des USER_AGENTs différents.

Si vous préférez faire une redirection vers un fichier PHP pour récupérer et cataloguer les requêtes fautives, vous pouvez remplacer la dernière ligne par:

RewriteRule (.*) http://quelque-part.votre-site.com/recupere.php?variable=$1 [L]

Par sécurité, évitez de naviguer avec votre USER_AGENT modifié ailleurs que sur votre site web. Cette sécurité est un dispositif à utiliser en complément avec les autres dispositifs de sécurité de votre site. Cette astuce a l’avantage d’éliminer tous les robots qui pourraient essayer toutes les combinaisons de mots de passes possibles (force brute), pour percer un mot de passe d’administration…

Pour en connaitre d’avantage sur les expressions régulières, autant utilisables dans vos fichiers PHP que dans vos fichiers .htaccess, voici un bon tutoriel sur les expressions régulières.

Laissez aller votre imagination!

Small Hr

Tous les articles

haut de la page

Visitez la page officielle de Webmestre sur FaceBook
Copyright © 2010 – Tous droits réservés

Flux RSS

Communiqués de presse similaires :

Egalement sur Webmestre
Categories: Internet
tags: ,
Laisser un commentaire
Partager