Configurez votre fichier php.ini pour plus de sécurité

Détails

logo php 2En tant que fichier de configuration PHP, php.ini vous permet de modifier certains paramètres importants, vous laissant ainsi la possibilité de modifier le comportement de votre serveur PHP.

 

icone phpLocaliser le fichier php.ini

Le fichier php.ini se trouve sur le serveur. Il n’apparait pas dans les fichiers d’installation de votre site Joomla sauf si vous avez créé un fichier php.ini en local.

Pour trouver le chemin d’accès au fichier php.ini sur le serveur, rendez-vous dans le back-end de votre site Joomla (2.5) :

Site > Informations système > Informations PHP > Configuration File (php.ini) Path

Selon votre hébergeur, vous n’aurez peut-être pas accès au fichier php.ini. C’est souvent le cas lorsque vous êtes chez un hébergeur gratuit ou partagé.
 

Pour contourner ce problème, créez un fichier php.ini local, tel que décrit dans le lien ci-dessus, ou contactez votre hébergeur.

icone phpModifier le fichier php.ini d’origine

Dans ce petit tutoriel, nous allons modifier le fichier php.ini original sur votre serveur afin de renforcer la sécurité de votre site Joomla :

  • Trouvez le fichier php.ini sur le serveur
  • Faites une copie du fichier php.ini
  • Ouvrez le fichier php.ini (avec Notepad++ par exemple)
  • Effectuez les modifications suivantes :
  1. Changer expose_php = on en expose_php = off

Mettre ce paramètre sur off empêchera les hackers de voir quelle version de PHP vous utilisez.

  1. Changer allow_url_fopen = on en allow_url_fopen = off

Par défaut, ce paramètre est désactivé, comme il se doit. Désactivé, les fichiers distants ne seront pas traités comme des fichiers locaux sur le serveur, empêchant ainsi les attaques malveillantes.

  1. Changer session.use_trans_sid = on en session.use_trans_sid = off

Réduit le risque d'une attaque par fixation de session.

  1. Changer safe_mode = on en safe_mode = off (fonction supprimée dans PHP6)

Désactivé par défaut, comme il se doit. Quand il est activé, il désactive des fonctionnalités telles que exec () et chmod ().

  1. Changer register_globals = on en register_globals = off (fonction supprimée dans PHP6)

Désactivez cette option pour empêcher les pirates d'insérer des variables de requête à partir des formulaires HTML dans le but de hacker votre site.

  • Sauvegardez le fichier php.ini
  • Redémarrer votre serveur pour appliquer les changements
  • C’est terminé !
Notez que vous pouvez rencontrer des problèmes de fonctionnalité avec quelques extensions après avoir fait les changements ci-dessus.
 

Merci à iorbita d'avoir suggéré la traduction de cet article sur le forum :)

Source : webmasterscafe.com

L'auteur : un expert à votre service
Geoffrey LEOST
Nom : Geoffrey LEOST

Articles qui devraient vous intéresser

Quel hébergeur et hébergement Joomla 3.9 faut-il choisir ? Quel hébergeur et hébergement Joomla 3.9 faut-il choisir ?
CET ARTICLE EST OBSOLETE   Beaucoup de solutions d'hébergements s'offrent à nous et il n'est pas toujours...
Comment réaliser un formulaire de contact compatible RGPD Comment réaliser un formulaire de contact compatible RGPD
Nous allons aborder les différentes questions à se poser pour rendre le traitement d'un formulaire compatible avec...

Commentaires (2)

  2. #890
This comment was minimized by the moderator on the site

Bonjour,
Nous avons fait un article dans notre base de connaissances pour le cas de ceux en partagé qui utilisent joomla, wordpress, prestashop... :
http://www.yoorshop.fr/knowledgebase/115/Peut-on-personnaliser-le-fichier-phpini-.html

  1. 0
  2. #914
This comment was minimized by the moderator on the site

pour allow_url_fopen cela dépend.
Si on est sur son propre serveur autant l'activer ça facilite la vie quand même.
après les mutus, ok c'est autre chose

  1. 0
Il n'y a pas encore de commentaire pour cet article.

Ajouter vos commentaires

  1. Insérer un commentaire en tant qu'invité.
Arrière-plan
Pièces jointes (0 / 3)
Share Your Location
Contact
Dernier article sur la même thématique
Les fondamentaux de la sécurité pour protéger votre TPE / PMELes fondamentaux de la sécurité pour protéger votre TPE / PME
Les gérants d’entreprises de petite et moyenne taille s’imaginent trop souvent à l’abri des cyberattaques et plus généralement des sujets afférents à la cybersécurité. Et pourtant, en pratique, c...