Sécurité

Un article de PhpMyVisites documentation.

Jump to: navigation, search

Au sein de phpMyVisites

La sécurité dans phpMyVisites est un domaine sur lequel l'équipe de développement travaille constamment. Nous avons conçu phpMyVisites en pensant constamment aux problèmes de sécurité et de protection des données. Les mots de passe (que l'on force à être complexe) sont codés via un procédé inviolable (md5) en base de données. De nombreux tests sont réalisés afin d'empêcher toute tentative de hacking via phpMyVisites (SQL Injection ou Cross Site Scripting).

En cas de problème, nous serions très réactifs sur la rapidité de réponse et de publication de nouvelle version.

Au sein de votre serveur web

Il convient de respecter les règles suivantes afin de minimiser les problèmes :

  • ne pas permettre l'affichage de phpinfo(); sur aucune page visible de votre site
  • mettre « register_globals » à « off » dans votre configuration php
  • mettre « display_errors » à « off », et « log_errors » à « on ». C'est très important car les messages d'erreur sont une source d'informations très riche pour un pirate. Même si en temps normal aucune erreur ne s'affiche sur votre site, le pirate fait en sorte d'afficher les erreurs lui-même, et il en tire de nombreuses informations.
  • faire des sauvegardes régulières de sa base de données (donc des données des tables de phpMyVisites), cela évite de tout perdre en cas d'attaque
  • le mot de passe admin NE DOIT PAS être le même que le ftp et/ou le mysql (ce que l'on voit trop souvent).
  • faire attention aux autres logiciels que vous utilisez sur le serveur web (forums, CMS, etc.) et vérifiez régulièrement la présence de nouvelles versions plus sécurisées
  • vérifiez la présence de nouvelles versions de phpMyVisites corrigeant un problème de sécurité et faire la mise à jour (inscrivez vous à la newsletter pour cela)