Forum - GuppY 6 - alerte de sécurité
Bonjour,
Pour refaire entièrement un site trop longtemps resté sans mise à jour (pas ma faute, pas de ftp à disposition pour le faire - version 5.00.03), j'héberge le "brouillon" dernière version chez free. Mais quand j'ouvre File Zilla j'ai un message d'alerte :
"Ce serveur ne gère pas le FTP sur TLS.
Si vous continuez, votre mot de passe et vos fichiers seront envoyés en clair sur internet.
hôte : ftpperso.free.fr port : 21
toujours autoriser FTP non sécurisé pour ce serveur (à cocher)"
Que dois-je faire pour la mise en sécurité ? sous peine de devoir laisser tomber Guppy, à regret...
Dans un second temps, le site sera hébergé chez un hébergeur non gratuit.
Merci beaucoup.
mh
Bonjour,
Mon site étant lui aussi hébergé chez free, je peux te dire qu'une config simple comme décrite sur la capture-ci devrait suffire.
Pour démarrer, en mettant un htaccess spécial pour free bien sûr.
Salutations,
Le Vert est ma Nature !
Rectifié par hulky42 le 13/06/2023 @ 15:03
Merci de ta réponse. J'ai chargé le fichier .htaccess dispo pour free dans téléchargements" . C'est celui-là qui est ok ?
php56 1 AddDefaultCharset UTF-8 ### Blocage Iframes externes ### Header set X-Frame-Options SAMEORIGIN ### Accès au seul fichier index.php, les autres sont interdits ### DirectoryIndex index.php ### Interdire les .php/ RewriteEngine On RewriteCond %{REQUEST_URI} ^/(.*).php/ RewriteRule (.*) - [F] ### Filtre contre XSS, Redirections HTTP, base64_encode, Variable PHP GLOBALS via URL ### Modifier VARIABLE _REQUEST via URL, Test de faille PHP, Injection SQL simple RewriteEngine On RewriteCond %{REQUEST_METHOD} (GET|POST) [NC] RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR] RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR] RewriteCond %{QUERY_STRING} ^(.*)document.location.href(.*)$ [OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(127.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)(https?|ftp|mosConfig)(%3A|:)//(.*)$ [NC,OR] ### Desactive les méthodes de requêtes TRACE TRACK DELETE RewriteEngine On RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK) [NC] RewriteRule ^.* - [F] OPTIONS -ExecCGI -Indexes Order allow,deny Deny from all Satisfy All ### Interdire les autres types de fichier index order allow,deny deny from all Order allow,deny Deny from all Satisfy all ErrorDocument 400 /error.php?err=400 ErrorDocument 403 /error.php?err=403 ErrorDocument 404 /error.php?err=404 ErrorDocument 500 /error.php?err=500
Merci !
Bonjour,
celui-ci me semble meilleur pour free :
<IfDefine Free> php56 1 </IfDefine> AddDefaultCharset UTF-8 ### Blocage Iframes externes ### Header set X-Frame-Options SAMEORIGIN ### Accès au seul fichier index.php, les autres sont interdits ### DirectoryIndex index.php ### Interdire les .php/ <IfDefine !Free> RewriteEngine On RewriteCond %{REQUEST_URI} ^/(.*).php/ RewriteRule (.*) - [F] </IfDefine> ### Filtre contre XSS, Redirections HTTP, base64_encode, Variable PHP GLOBALS via URL ### Modifier VARIABLE _REQUEST via URL, Test de faille PHP, Injection SQL simple <IfDefine !Free> RewriteEngine On RewriteCond %{REQUEST_METHOD} (GET|POST) [NC] RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR] RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR] RewriteCond %{QUERY_STRING} ^(.*)document.location.href(.*)$ [OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(127.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)(https?|ftp|mosConfig)(%3A|:)//(.*)$ [NC,OR] </IfDefine> ### Desactive les méthodes de requêtes TRACE TRACK DELETE <IfDefine !Free> RewriteEngine On RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK) [NC] RewriteRule ^.* - [F] </IfDefine> OPTIONS -ExecCGI -Indexes <Files ~ "^.ht"> Order allow,deny Deny from all Satisfy All </Files> ### Interdire les autres types de fichier index <Files ~ "^(index).(p?s?x?htm?|txt|aspx?|cfml?|cgi|pl|php[3-9]|jsp|xml)$"> order allow,deny deny from all </Files> <Files ~ ".(inc|dtb)$"> Order allow,deny Deny from all Satisfy all </Files> ErrorDocument 400 /error.php?err=400 ErrorDocument 403 /error.php?err=403 ErrorDocument 404 /error.php?err=404 ErrorDocument 500 /error.php?err=500
salutations
Le Vert est ma Nature !
Bonjour,
Citation : « mh »
Que dois-je faire pour la mise en sécurité ? sous peine de devoir laisser tomber Guppy, à regret...
GuppY ne gère pas la sécurité des hébergements chez Free, nous essayons de maintenir une possibilité en modifiant des fichiers de GuppY.
Il serait préférable de s'adresser à Free pour la sécurité par exemple les certificats SSL, de TLS, de la version PHP en 5.6 alors que PHP est à la version 8.2, des mots de passe en clair, du webmail...
La liste est longue mais nous n'y sommes pour rien, c'est Free.
Pour un site sécurisé, il faut un hébergement pro, voir notre partenaire o2switch.
Cordialement, Papinou GY_asfG2013 gyteam .gif" alt="" title="" />