Bien utiliser le fichier de configuration .htacess pour sécuriser votre site
En 2011, le site Reflets.info avait signalé le manque de professionnalisme de certaines agences de communications qui se sont mises à faire du web sans véritable expertise en la matière.
Le 30 juin dernier, un nouveau billet montrait avec capture d'écran à l'appui un problème de sécurité sur le site même d'une agence de communication. Le journaliste avait pu parcourir tous les fichiers et dossiers du site web sans avoir eu besoin de pirater le site web.
Comment cela a-t-il pu arriver ? Tout simplement parce que le webmaster n'avait pas interdit l'accès aux fichiers opération pourtant inhérente lors de la mise en ligne d'un site Web.
Dans cet exemple, les identifiants de connexions et le mot de passe de la base de données du site étaient accessibles à tout le monde, car ils n'étaient pas cryptés. Il aurait été aisé à l'auteur du billet de s'y connecter et de récupérer toutes sortes dedonnées qu'elles soient confidentielles ou non.
Que faut-il retenir de cette histoire ?
Lorsque l'on réalise un site internet, même pour le simple artisan qui souhaite juste présenter son activité sur le Web, il faut prendre l'habitude de sécuriser son site. Et c'est très simple sous un serveur Apache, le plus utilisé pour le fonctionnement des sites Web
Ce serveur peut ce paramétrer via un fichier .htaccess.
Dans notre exemple, le webmaster du site en question aurait dû créer ce fichier nommé .htaccess dans le dossier du site Web et interdire de parcourir l'arborescence des dossiers par cette simple ligne.
Options -Indexes
Le journaliste n'aurait alors pas pu naviguer dans les différents répertoires et les identifiants de la base de données seraient restés bien cachés.
Pourtant simple, non ?