Nous mettrons à jour notre Politique de confidentialité prochainement. En voici un aperçu.

​Joomla! : Gestion de la sécurité

Se protéger des injections SQL

Testez gratuitement nos 1341 formations

pendant 10 jours !

Tester maintenant Afficher tous les abonnements
Installez un plug-in pour vous protéger et vous informer des attaques par injection de code SQL et inclusions de fichiers.

Transcription

Parmi les nombreuses attaques que subissent les sites web, et particulièrement les sites qui travaillent avec une base de données SQL, comme la majorité des CMS, eh bien ce sont les injections SQL. Je vais prendre un petit exemple pour comprendre ce qu'est une injection SQL. Je vais essayer d'entrer dans la base de données d'un site, donc à partir de mon navigateur, je vais ajouter dans l'URL du code, donc comme ici, on va rajouter après index.php un code qui va essayer de lancer des commandes SQL dans la base de données. Nous avons plusieurs moyens de nous défendre de cela avec Joomla, et là je vais vous montrer un petit plugin qui est tout simple mais terriblement efficace. Il s'agit de Marco's SQL injection, vous pouvez l'obtenir à partir de l'interface d'administration de votre site web, on l'a téléchargé par le web. mais de toutes façons il faudra passer sur le site de l'auteur. C'est un plugin qui est gratuit, le fait de passer sur JED, c'est qu'on a un tas d'informations, notamment les notes des utilisateurs. Alors ce plugin bloque les injections SQL mais aussi l'inclusion du fichier. Un autre type d'attaque, les attaques LFI consistent, là aussi toujours en passant par l'URL, on va essayer d'envoyer des fichiers, alors notamment sur des extensions un petit peu sensibles. On sait qu'il y a une faille qui va permettre de télécharger un fichier par URL et ce fichier, souvent c'est une porte d'entrée après dans le site, on va pouvoir le contrôle comme on veut. Alors, téléchargez ce plugin chez son auteur, installez-le sur votre site, et nous allons voir qu'il est assez simple à configurer. Alors nous allons le retrouver dans les Extensions et dans les Plugins. On va taper le prénom de son auteur pour le retrouver dans la liste des plugins, c'est un plugin système, et à la limite, on pourrait l'utiliser tel quel, mais on a quelques petites fonctionnalités. Par défaut, il va uniquement travailler sur le FrontEnd, c'est à dire les URL sont envoyées sur le site parce que c'est la partie publique la plus visible et c'est par là que passent les attaques. Vous pouvez aussi protéger l'administration, par contre il est conseillé de faire des tests sur un site prévu à ça, vous faîtes une copie de votre site et vous faîtes des tests pour éviter d'être bloqué. Surtout si vous activez le blocage des adresses IP. Donc on va laisser les paramètres par défaut. Donc là , un petit peu les codes qui vont être inspectés. On peut exclure certaines extensions, une ou plusieurs, on va les séparer par une virgule. Alors ce qui est interessant, c'est les notifications, on va activer l'envoi d'email, en cas d'alerte, c'est pratiquement instantané, et là mettre son adresse email, webmaster etc. Et puis dans les paramètres avancés, là c'est le message qui va être affiché en cas d'attaque, c'est un message d'erreur qui ne donnera pas d'informations complémentaire au hacker si c'est un humain qui lui permettrait éventuellement de pouvoir s'en servir pour amener une autre attaque. Donc les messages d'erreur, c'est souvent assez dangereux car ils contiennent beaucoup d'informations, donc là on va simplement afficher des messages erreur simples, on pourrait même modifier et mettre quelque chose de rigolo. Si vous gérez les adresses URL canoniques, vous pouvez ici, paramétrer le nombre d'URL dupliquées qui seront vérifiées. Et vous pouvez en cas d'attaque bloquer l'adresse IP qui vous a attaqué pendant un certain nombre de temps. Voilà donc le genre d'extension complémentaire qu'on peut trouver pour sécuriser son site Joomla.

​Joomla! : Gestion de la sécurité

​Respectez quelques règles, souvent simples et de bon sens, pour éviter de perdre tout le contenu de votre site Joomla!. Sachez prévenir et réagir en cas d’attaque !

1h47 (26 vidéos)
Aucun commentaire n´est disponible actuellement
 
Logiciel :
Thématiques :
Design web
CMS
Spécial abonnés
Date de parution :21 avr. 2016

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !