larger smaller normal text version of this page
Phplist Documentation

Sécurisation de PHPlist



Ce document décrit un certain nombre de mesures qui contribueront à améliorer la sécurité de votre système. Certaines de ces mesures ne s'appliqueront peut être pas à votre système, car elles dépendent de la configuration de l'installation de votre PHPlist. Bien qu'il ne soit pas nécessaire de mettre en oeuvre toutes les mesures proposées dans ce document, il est néanmoins recommandé d'en appliquer un maximum.


Veillez à garder votre installation à jour
Abonnez-vous à la liste de diffusion pour être tenu informé des correctifs de sécurité et des mises à jour, afin de les installer dès qu'ils sont disponibles.

Limitez les risque d'accès (htaccess)
Assurez-vous que les .htaccess dans les répertoires de PHPlist (en particulier ceux des répertoires "admin" et "commonlib") soient actifs. L' .htaccess inclus dans PHPlist devrait être configuré afin que "index.php" soit le seul fichier accessible dans le répertoire admin. Aucun autre fichier php devrait être accessible. Les images ainsi que les feuilles de style doivent toujours être accessibles.
Remarque: Certains serveurs sont paramétrés de tel manière que certaines directives Apache placées dans de fichier .htacess ne soient pas autorisées. En cas de doute, vérifiez auprès de votre hébergeur. Si votre hébergeur ne permet pas le transfert du fichier .htaccess via FTP, vous devriez lui demander de l'aide pour trouver une solution efficace.
Pour plus d'informations, voir:

Autorisation des fichiers et des répertoires
Vérifiez que vos répertoires et vos fichiers possèdent l'autorisation correcte en lecture/écriture. Les autorisations doivent être les plus basses possible. Ce niveau varie en fonction de la configuration de votre serveur. Vérifiez toujours que les permissions ne soient pas supérieurs à :

permissions (octal) (symbolic)
Répertoires 755 d rwx r-x r-x
Fichiers 644 - rw- r-- r--


Pour plus d'informations sur les autorisations des systèmes de fichiers, consultez le manuel de votre système d'exploitation, ou contactez votre hébergeur.

Exécutez toujours votre script avec des autorisations limitées en client d'Apache
Exécutez le script comme client d'Apache ayant des autorisations très limitées sur votre serveur, en particulier sur les permissions d'écriture sur vos fichiers. Voir également des conseils de sécurité Apache.

Mot de passe de protection du répertoire admin (htaccess)
Votre répertoire admin est protégé par un mot de passe. Le client Apache utilise le .htaccess dans le répertoire admin prévu à cet effet. Pour plus d'informations, voir la documentation Apache
Vous pouvez combiner cette mesure avec le système d'identification de l'installation de PHPlist, dans ce cas votre administrateur PHPlist doit d'abord avoir accès au répertoire admin, puis se logger comme admin PHPlist.


Configurez "registre globals" à "off" (php.ini/htaccess)
Configurez "registre globals" à "off" dans votre fichier php.ini. Si votre serveur est mutualisé et que vous n'avez pas accès à votre php.ini, vous pouvez également utiliser cette ligne dans votre fichier .htaccess: php_flag register_globals off
Pour de plus d'informations, veuillez consulter la documentation PHP sur ce sujet.

Changez le mot de passe admin PHPlist
Changez immédiatement le mot de passe administrateur après avoir installé PHPlist.

Utilisez PHPlist avec un pare-feu
Exécutez votre PHPlist toujours derrière un pare-feu, ce qui évitera l'utilisation de services inutiles et dangereux.


Assurez-vous de l'indépendance de chaque utilisateurs de la base de données
Si vous exécutez plusieurs applications PHP/MySQL sur le même serveur, il est fortement recommandé d'utiliser des bases de données distinctes, chacune étant gérée par un binome : utilisateur/mot de passe. Cette mesure de cloisonnement est indispensable, en effet si un intrus arrive malgré tout à accéder à l'une de vos bases de données, les autres resteront toutefois inaccessibles. Voir aussi Secure MySQL Database Design.

Sauvegardez votre base de données
Faites régulièrement des sauvegardes de votre base de données et conservez-les dans un endroit sûr.


CategoryDocumentation
Page was generated in 0.0605 seconds