Mis à jour le mercredi 8 mars 2017
  • 4 heures
  • Facile

Quelques conseils avant de partir

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Bon, avant de vous lâcher seuls dans la nature, j'aimerais vous donner quelques recommandations. Non pas que je n'ai pas confiance en vous, mais je n'ai malheureusement pas eu le temps de parler de tout !

Les 25 commandements du développeur web

Voici 25 commandements que vous devez respecter coûte que coûte dans votre vie de développeur web.

  1. Tu ne feras jamais confiance !

  2. Tu garderas toujours tes services à jour !

  3. Tu auras une politique de sécurité stricte et bien définie !

  4. Tu resteras informé(e) des dernières découvertes de failles !

  5. Tu chercheras toujours à devenir encore meilleur(e) !

  6. Tu t'entraîneras sur des sites de challenge (ex : root-me.org, w3challs.com, etc.) pour comprendre comment les hackers fonctionnent !

  7. Tu protègeras les données de tes utilisateurs au péril de ta vie !

  8. Tu mettras en place des logs pour absolument tout !

  9. Tu vérifieras toujours les données, quelle que soit leur provenance !

  10. Tu protègeras tes répertoires !

  11. Tu auras un mot de passe de l'espace !

  12. Tu seras imprévisible !

  13. Tu ne te croiras jamais en sécurité !

  14. Tu resteras à l'écoute de tes utilisateurs !

  15. Tu feras des sauvegardes régulières !

  16. Tu connaîtras par cœur la configuration de ton serveur !

  17. Tu ne feras jamais triompher le design sur la sécurité !

  18. Tu ne noteras jamais tes mots de passe !

  19. Tu utiliseras toujours tes compétences pour épauler les autres !

  20. Tu ne diras plus jamais "décrypter" pour un hash !

  21. Tu n'utiliseras plus jamais MD5 ou SHA1 !

  22. Tu passeras en HTTPS dès que possible !

  23. Tu seras toujours transparent(e) avec tes utilisateurs !

  24. Tu sauras gérer les erreurs PHP et MySQL !

  25. Tu utiliseras PDO !

  26. Tu seras impitoyable avec celles et ceux qui veulent du mal à ton site !

Utilisateurs de CMS pour des forums

Si vous utilisez un CMS de création de forums (XenForo, Mybb…) sachez qu'il existe aussi des exploits possibles avec certains plugins. Je ne pouvais pas partir d'ici avant de vous avoir donné quelques conseils supplémentaires.

  1. Vérifiez que vous êtes à jour, et que tous les derniers patchs correctifs sont bien installés.

  2. Renseignez-vous avant d'utiliser un plugin/thème. Lisez les avis et si possible inspectez le code.

  3. Renseignez-vous régulièrement sur les nouveaux exploits découverts. Cherchez sur Internet des petits outils de scan qui listent une grosse partie des exploits connus et lancez des scans.

  4. Changez le préfixe des tables par défaut.

  5. Soyez inventifs ! Vous pouvez créer un faux formulaire de connexion à l'espace administrateur et cacher le vrai. Par exemple, créez un index "admin" www.monsite.fr/admin/admin.php avec un formulaire de connexion qui renvoie à chaque fois "Identifiants incorrects". Placez le formulaire réel dans un dossier improbable www.monsite.fr/gmefezk/avefe125/anre.php. Comme ça, le hacker s'acharnera sur le faux formulaire, sans succès.

  6. Si le captcha par défaut n'est pas ReCaptcha, changez-le.

  7. Utilisez un mot de passe très long, quitte à le copier-coller à chaque fois, pour éviter les brute force de votre formulaire.

  8. Interdisez à l'aide d'un .htaccess les répertoires sensibles comme ./inc ./install ./{admin dir}./{plugins dir}.

  9. Supprimez tous les modules dont vous ne vous servez pas (slideshow, agenda, footer…).

  10. Mettez en place une protection anti-DDOS si votre hébergeur le permet (CloudFlare est très bien). Les forums, même les plus petits, sont très souvent victimes d'attaques pour un rien. Il suffit qu'une personne pas très mature (je pèse mes mots) décide de se payer un bon serveur d'attaque, et votre forum est down pendant plusieurs minutes, voire plusieurs heures. Plus votre serveur est petit, plus ça risque de faire mal : protégez-vous.

Conclusion du cours

Merci d'avoir pris le temps de lire ce cours. J'espère qu'il vous aura été utile, et que vous abordez aujourd'hui la notion de sécurité avec plus de sérénité. Je suis heureux de recevoir des messages de personnes qui ont pu améliorer la sécurité de leur application web grâce à ce cours. Sachez que tout le plaisir est pour moi ! Continuez à vous amuser en informatique, n'oubliez jamais que vous êtes les meilleurs(, et n'oubliez pas non plus les points 5 et 13). :ange: 

Exemple de certificat de réussite
Exemple de certificat de réussite