empêcher l’exécution de scripts PHP malveillants

Bien trop souvent, il arrive que des failles de sécurité dans des CMS web majeurs (wordpress, drupal, etc..) soient exploitées pour uploader sur le site des scripts PHP malveillants (généralement pour envoyer du spam ou faire télécharges des malwares).

Veiller à appliquer les les mises à jour de sécurité est donc un mal nécessaire, mais au delà il vaut mieux prévoir une mécanique pour se prémunir de l’exécution de ces scripts.
Dans ce premier temps, il faut déterminer les répertoires où les CMS vont stocker leurs données (c’est généralement les dossiers d’upload) et typiquement :
– pour Drupal : /sites/XXX/files/
– pour WordPress : /wp-content/uploads/

Pour y créer (ou modifier) le fichier .htaccess contenant le nécessaire empêchant l’exécution du PHP :
RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off

Bien sûr, ce c’est pas la panacée, çà ne fonctionne qu’avec Apache, et ne remplacera en aucun cas les mises à jours de sécurité ni empêchera les autres types d’attaques (injection SQL, XSS, etc…) mais c’est déjà çà …

posté le 6. août 2013 à 12:47 pm par info · Permalink
Catégories : drupal, web, wordpress · Mots-clés: 

Une réponse

Inscrivez-vous au fil RSS des commentaires

  1. Ecrit par maintenance informatique
    de 16/08/2013 à 4:44 pm
    Permalink

    Merci pour ces conseils. Comme le risque zéro est encore loin d’être acquis dans le domaine de la sécurité informatique, toute prévention possible, même la plus anodine est à prendre, on ne sait jamais.

Inscrivez-vous au fil RSS des commentaires

Ajoutez un commentaire