Formatting code for FrenchSecurity
[[PhplistDocumentation Phplist Documentation]]
----
=====Sécurisation de PHPlist =====
//Ce document décrit un certain nombre de mesures qui contribueront à améliorer la sécurité de votre système. Certaines de ces mesures ne s'appliqueront peut être pas à votre système, car elles dépendent de la configuration de l'installation de votre PHPlist. Bien qu'il ne soit pas nécessaire de mettre en oeuvre toutes les mesures proposées dans ce document, il est néanmoins recommandé d'en appliquer un maximum.//
==Veillez à garder votre installation à jour==
Abonnez-vous à [[http://www.phplist.com/lists/?p=subscribe&id=5 la liste de diffusion]] pour être tenu informé des correctifs de sécurité et des mises à jour, afin de les installer dès qu'ils sont disponibles.
==Limitez les risque d'accès (htaccess)==
Assurez-vous que les .htaccess dans les répertoires de PHPlist (en particulier ceux des répertoires "admin" et "commonlib") soient actifs. L' .htaccess inclus dans PHPlist devrait être configuré afin que "index.php" soit le seul fichier accessible dans le répertoire admin. Aucun autre fichier php devrait être accessible. Les images ainsi que les feuilles de style doivent toujours être accessibles.
**Remarque:** Certains serveurs sont paramétrés de tel manière que certaines directives Apache placées dans de fichier .htacess ne soient pas autorisées. En cas de doute, vérifiez auprès de votre hébergeur. Si votre hébergeur ne permet pas le transfert du fichier .htaccess via FTP, vous devriez lui demander de l'aide pour trouver une solution efficace.
Pour plus d'informations, voir:
~&[[http://en.wikipedia.org/wiki/Htaccess Wikipedia - .htaccess]]
~&[[http://httpd.apache.org/docs/trunk/howto/htaccess.html Apache Tutorial: .htaccess files]]
==Autorisation des fichiers et des répertoires==
Vérifiez que vos répertoires et vos fichiers possèdent l'autorisation correcte en lecture/écriture. Les autorisations doivent être les plus basses possible. Ce niveau varie en fonction de la configuration de votre serveur. ''Vérifiez toujours'' que les permissions ne soient pas supérieurs à :
{{table columns="3" cells=";permissions (octal);(symbolic);Répertoires;755;d rwx r-x r-x;Fichiers;644;- rw- r-- r--;"}}
Pour plus d'informations sur [[http://en.wikipedia.org/wiki/File_system_permissions les autorisations des systèmes de fichiers]], consultez le manuel de votre système d'exploitation, ou contactez votre hébergeur.
==Exécutez toujours votre script avec des autorisations limitées en client d'Apache==
Exécutez le script comme client d'Apache ayant des autorisations très limitées sur votre serveur, en particulier sur les permissions d'écriture sur vos fichiers. Voir également des [[http://httpd.apache.org/docs/1.3/misc/security_tips.html conseils de sécurité Apache]].
==Mot de passe de protection du répertoire admin (htaccess)==
Votre répertoire admin est protégé par un mot de passe. Le client Apache utilise le .htaccess dans le répertoire admin prévu à cet effet. Pour plus d'informations, voir la [[http://httpd.apache.org/docs/1.3/howto/auth.html documentation Apache]]
Vous pouvez combiner cette mesure avec le système d'identification de l'installation de PHPlist, dans ce cas votre administrateur PHPlist doit d'abord avoir accès au répertoire admin, puis se logger comme admin PHPlist.
==Configurez "registre globals" à "off" (php.ini/htaccess)==
Configurez "registre globals" à "off" dans votre fichier php.ini. Si votre serveur est mutualisé et que vous n'avez pas accès à votre php.ini, vous pouvez également utiliser cette ligne dans votre fichier .htaccess: ''php_flag register_globals off''
Pour de plus d'informations, veuillez consulter [[http://www.php.net/register_globals la documentation PHP]] sur ce sujet.
==Changez le mot de passe admin PHPlist==
Changez immédiatement le mot de passe administrateur après avoir installé PHPlist.
==Utilisez PHPlist avec un pare-feu==
Exécutez votre PHPlist toujours derrière un pare-feu, ce qui évitera l'utilisation de services inutiles et dangereux.
==Assurez-vous de l'indépendance de chaque utilisateurs de la base de données==
Si vous exécutez plusieurs applications PHP/MySQL sur le même serveur, il est fortement recommandé d'utiliser des bases de données distinctes, chacune étant gérée par un binome : utilisateur/mot de passe. Cette mesure de cloisonnement est indispensable, en effet si un intrus arrive malgré tout à accéder à l'une de vos bases de données, les autres resteront toutefois inaccessibles. Voir aussi [[http://www.securityfocus.com/infocus/1667 Secure MySQL Database Design]].
==Sauvegardez votre base de données==
Faites ''régulièrement des sauvegardes'' de votre base de données et conservez-les dans un endroit sûr.
----
CategoryDocumentation
----
=====Sécurisation de PHPlist =====
//Ce document décrit un certain nombre de mesures qui contribueront à améliorer la sécurité de votre système. Certaines de ces mesures ne s'appliqueront peut être pas à votre système, car elles dépendent de la configuration de l'installation de votre PHPlist. Bien qu'il ne soit pas nécessaire de mettre en oeuvre toutes les mesures proposées dans ce document, il est néanmoins recommandé d'en appliquer un maximum.//
==Veillez à garder votre installation à jour==
Abonnez-vous à [[http://www.phplist.com/lists/?p=subscribe&id=5 la liste de diffusion]] pour être tenu informé des correctifs de sécurité et des mises à jour, afin de les installer dès qu'ils sont disponibles.
==Limitez les risque d'accès (htaccess)==
Assurez-vous que les .htaccess dans les répertoires de PHPlist (en particulier ceux des répertoires "admin" et "commonlib") soient actifs. L' .htaccess inclus dans PHPlist devrait être configuré afin que "index.php" soit le seul fichier accessible dans le répertoire admin. Aucun autre fichier php devrait être accessible. Les images ainsi que les feuilles de style doivent toujours être accessibles.
**Remarque:** Certains serveurs sont paramétrés de tel manière que certaines directives Apache placées dans de fichier .htacess ne soient pas autorisées. En cas de doute, vérifiez auprès de votre hébergeur. Si votre hébergeur ne permet pas le transfert du fichier .htaccess via FTP, vous devriez lui demander de l'aide pour trouver une solution efficace.
Pour plus d'informations, voir:
~&[[http://en.wikipedia.org/wiki/Htaccess Wikipedia - .htaccess]]
~&[[http://httpd.apache.org/docs/trunk/howto/htaccess.html Apache Tutorial: .htaccess files]]
==Autorisation des fichiers et des répertoires==
Vérifiez que vos répertoires et vos fichiers possèdent l'autorisation correcte en lecture/écriture. Les autorisations doivent être les plus basses possible. Ce niveau varie en fonction de la configuration de votre serveur. ''Vérifiez toujours'' que les permissions ne soient pas supérieurs à :
{{table columns="3" cells=";permissions (octal);(symbolic);Répertoires;755;d rwx r-x r-x;Fichiers;644;- rw- r-- r--;"}}
Pour plus d'informations sur [[http://en.wikipedia.org/wiki/File_system_permissions les autorisations des systèmes de fichiers]], consultez le manuel de votre système d'exploitation, ou contactez votre hébergeur.
==Exécutez toujours votre script avec des autorisations limitées en client d'Apache==
Exécutez le script comme client d'Apache ayant des autorisations très limitées sur votre serveur, en particulier sur les permissions d'écriture sur vos fichiers. Voir également des [[http://httpd.apache.org/docs/1.3/misc/security_tips.html conseils de sécurité Apache]].
==Mot de passe de protection du répertoire admin (htaccess)==
Votre répertoire admin est protégé par un mot de passe. Le client Apache utilise le .htaccess dans le répertoire admin prévu à cet effet. Pour plus d'informations, voir la [[http://httpd.apache.org/docs/1.3/howto/auth.html documentation Apache]]
Vous pouvez combiner cette mesure avec le système d'identification de l'installation de PHPlist, dans ce cas votre administrateur PHPlist doit d'abord avoir accès au répertoire admin, puis se logger comme admin PHPlist.
==Configurez "registre globals" à "off" (php.ini/htaccess)==
Configurez "registre globals" à "off" dans votre fichier php.ini. Si votre serveur est mutualisé et que vous n'avez pas accès à votre php.ini, vous pouvez également utiliser cette ligne dans votre fichier .htaccess: ''php_flag register_globals off''
Pour de plus d'informations, veuillez consulter [[http://www.php.net/register_globals la documentation PHP]] sur ce sujet.
==Changez le mot de passe admin PHPlist==
Changez immédiatement le mot de passe administrateur après avoir installé PHPlist.
==Utilisez PHPlist avec un pare-feu==
Exécutez votre PHPlist toujours derrière un pare-feu, ce qui évitera l'utilisation de services inutiles et dangereux.
==Assurez-vous de l'indépendance de chaque utilisateurs de la base de données==
Si vous exécutez plusieurs applications PHP/MySQL sur le même serveur, il est fortement recommandé d'utiliser des bases de données distinctes, chacune étant gérée par un binome : utilisateur/mot de passe. Cette mesure de cloisonnement est indispensable, en effet si un intrus arrive malgré tout à accéder à l'une de vos bases de données, les autres resteront toutefois inaccessibles. Voir aussi [[http://www.securityfocus.com/infocus/1667 Secure MySQL Database Design]].
==Sauvegardez votre base de données==
Faites ''régulièrement des sauvegardes'' de votre base de données et conservez-les dans un endroit sûr.
----
CategoryDocumentation
