Vos conseil de sécurité pour prestashop

[sebseb]

Bonjour à tous,

Je cherche ici à regrouper les conseils de sécurité pour les personnes parano comme moi qui préfère prévenir que guérir.

J'ai déjà remarqué que certaine personne conseillait d'installer crawltrack sur leur serveur.
qu'en pensez-vous?

Je me disais que le dossier "config" est un dossier sensible.
Est-il possible de le sécuriser un peu plus avec un .htaccess ou de sortir son contenu de la racine du serveur?
Que me conseillez-vous à se sujet?

Si vous avez d'autres idées pour augmenter la sécurité elles sont les bienvenue.

[D-fox]

Respecter la règle d'or de l'informatique : SAUVEGARDER !

[pppplus]

Les sauvegardes, c'est pour réparer, les bêtises, pas pour sécuriser le site.

[Julien Breux]

Indexer tout les dossiers (mettre un index.php avec redirection vers l'accueil)

Modifier entièrement le nom de l'administration, pas de admin1234/, mais plutôt x15qsZEd/.

Sécuriser la partie administration par .htaccess / .htpasswd voir même n'autoriser que quelques IP (fixes souvent car professionnels)

Bien protéger le dossier themes/mon_themes/ car on peut toujours télécharger les templates /themes/prestashop/header.tpl

Au pire, installer des CAPTCHA sur les formulaires

Et vraiment si beaucoup de rendement, CURLer les domaines des adresses mail à l'inscription (par exemple le domaine : truc-inexistant.com n'est pas enregistrer)

Et si vraiment gros problème de "fake" à l'inscription, demander une confirmation (Mais casse la procédure d'achat)

Voici deux ou trois consignes par-ci par-là

[liandri]

Bonjour,

Peut-être une chose importante : l'hébergeur est-il fiable sur du mutualisé si c'est votre cas, et si vous avez un dédié, il y a encore pas mal de sécurisation à travailler directement dans configuration d'apache/mysql et compagnies !

[Julien Breux]

liandri à raison... il y'a un million et demi d'attaques possibles... sur un dédié

[sebseb]

Re bonjour,

Merci Julien pour ces informations toutefois il serrait sympa de développé un peu plus pour facilité la mis en place de ces conseil.

Donc je vais développé un peu ce que j'ai trouvé:

1)Pour le .htaccess et .htpasswd je vous donne un lien car il faut de toute manière générer un mot de passe crypté.
http://shop.alterlinks.com/htpasswd/passwd.php (perso j'ai pas eu besoin vu que mon hébergeur me fourni un outil qui me le fais pour moi :coolsmile: )

2)Pour protéger mon dossier thème j'ai créé un fichier .htaccess dans le répertoire themes/mon_themes/ avec le code suivant:

Deny from all

3) Pour les CAPTCHA, la je vois pas comment on fait sa. (désolé je suis pas un pro :sick: )

Voila pour les détails.

Pour le reste, je sais toujours pas quoi mettre comme .htaccess dans le dossier /config. :question:
Pour crawltrack sur le wiki de crawltrack ils disent qui faut mettre

$crawltsite=1
require_once("/xxxx/xxxxx/www/xxxxx/crawltrack.php")

dans index.php juste après Mais sur ce forum tout le monde le met dans le footer alors je suis un peu perdu. :question:
Pour la DB de celui-ci faut il l'ajouter à celle de prestashop ou faut il lui créer sa propre base?

Petite parenthèse J'ai pas encore ouvert mon site que j'ai déjà un petit malin qui cherche par tout les moyens ma console phpmyadmin (je vois sa dans les states des pages non trouvée.) c'est lourd >

Sur ce, je vais me couché a++