Maximus, le CMS Français simple, rapide et sécurisé

Avant de livrer d'autres tuyaux pour limiter l'accès à l'administration de votre forum phpBB3, je ne peux que vous conseiller fortement de placer un couple de fichier .htaccess / .htpasswd dans le dossier adm/

Ceci vous demandera une authentification de plus ( certes ) pour accéder à votre administration, mais apportera un plus indéniable coté sécurité.

Seconde chose à réaliser si vous avez une IP fixe
Ouvrez le fichier adm/index.php

Juste après ceci

Code: Tout sélectionner

<?php

ajoutez ce code

Code: Tout sélectionner

/** configuration*/
$IP_ALLOW = array();
/** fin configuration */

if ( count( $IP_ALLOW ) > 0 )
     if ( ! in_array( $_SERVER['REMOTE_ADDR'], $IP_ALLOW ) ) die('Access illegal ...');


La configuration est très simple, il vous suffira de rajouter une ou des ips dans la configuration pour que seule(s) celle(s) autorisée(s) puisse(nt) y avoir accès


pour ce faire pour une ip, faites comme ceci

Code: Tout sélectionner

/** configuration*/
$IP_ALLOW = array('10.0.0.1'); // 10.0.0.1 étant mon IP
/** fin configuration */


Si j'ai plusieurs IPs de connexion, comme ceci

Code: Tout sélectionner

/** configuration*/
$IP_ALLOW = array('10.0.0.1', '10.0.0.2', '10.0.0.3'); // chaque IP étant séparée par une virgule
/** fin configuration */

y a dans bbtomax?

y avait et il y aura
bbtomax 1.2 est securisé par max
dans la version 3 il y aura aussi voir autrement peut etre encore faut que je vois

Attention à une chose !!

j'ai appris ( du moins les mauvaises expériences m'ont appris ) à ne pas baser la sécurité et surtout la confiance sur un fichier .htaccess

il existe en effet plusieurs méthodes de contournement du htaccess, il peut aussi y avoir des défauts ou des failles ( même temporaires ou causées volontairement par une première attaque ) sur un serveur qui fera que le htaccess ne sera pas interprété ou partiellement, bref le htaccess c'est bien tant que tout va bien, mais si on veut réellement prendre en compte la sécurité d'un script c'est uniquement dans le script qu'il faut intervenir et nul par ailleurs

pour l'heure, je donne ce conseil très simple à appliquer, mais par la suite je donnerai du code pour locker l'accès à l'ACP ( entendez par ACP - administration des forums ) de phpbb 3

juste en passant, ça va être un peu technique mais en faisant le converter maximus -> phpbb3 ( enfin plutôt la partie dédiée à maximus puisqu'une grosse partie est 100% phpbb ) je me suis rendu compte d'une erreur grossière de conception ( ou plutôt d'intégration devrais je dire ) dans phpbb2 que nous avons actuellement, et pour information si maximus n'avait pas SAM ( secure admin ) il serait tout à fait possible de prendre la main sur l'admin de phpbb ( et ce n'était nullement la faute de phpbb 2 mais uniquement de l'intégration dans le cms )

en fait, j'en discutais il y a quelques jours avec ma femme, j'ai enfin compris par où passaient les malins qui défaçaient sans cesse les forums de phpnuke ...et le pourquoi du comment jamais on a connu ce même soucis avec maximus

juste pour vous donner une idée du truc, si je suis la conversion normale et classique que nous devrions appliquer de phpbb2 vers phpbb3 alors tous les utilisateurs se retrouvent avec un accès admin ... ça fait froid dans le dos lol, et j'ai mis plusieurs heures à comprendre ce qu'il pouvait bien y avoir comme couille dans le potage, mais j'ai fini par trouver ... j'en ai encore les yeux qui pleurent ( de rire mdr ) c'est tout simplement dans les droit de notre phpbb 2 que ça délire complet ( heureusement et bien m'en a pris un jour de créer et mettre en place SAM car sinon on aurait pas rigolé ... car pour trouver par où passer c'est vraiment pas évident et en plus il aurait fallu revoir complètement l'intégration )

pfu ... vous m'avez compris

tu a deux methodes simple
htacces et tous le toutim
authenfication par clef externe certificat voir pgp ^^

hummm ... en PHP tu as PHP pour te sécuriser
.htaccess n'est qu'une aide ( une très bonne aide même ) mais pas une sécurité absolue

actualisation du message original, avec nouveau contrôle ajouté

Y a t'il d'autres codes à mettre pour plus de sécu?