Comme le titre l'indique, je recherche un script pour ajouter plus de securité à Vbulletin.

J'ai cherché sur le net et n'étant pas un spécialiste en p.h.p, je privilégie une chose facile à installer, genre un peu comme un hack.

Les seuls tips que j'aie pu trouver sont des scripts payants, mais donnant certaines infos :

Enregistrement des IP connectées dans une base de donnée
fitrage des IP, (proxies)
bannissement des IP essayant de se connecter tant de fois à un repertoire particulier et dont l'acces est restreint.
etc...

Actuellement, j'utilise le htaccess qui me parait fiable, pour protéger les repertoires dits "sensibles" de notre forum, mais est ce suffisamment fiable ? Un htaccess peut il etre "cracké" ?

D'autre part, existe t'il des choses que l'on peut apporter à Vbulletin susceptible d'en renforcer la securité ou d'éviter justement de la fragiliser ?

Merci de vos conseils ;)

Heu juste une chose a la kestion si le htaccess peu etre cracker, tt peu etre cracker, il est plus facile de hacker une machine, ke de la proteger, et kome on dit souvent, rien est impossible... :)

Oui, tu as raison, c'est surement une question de temps pour passer les securités ;)

Ecoute pour ton htaccess je suis vraiment désoler mais oui celui ci peut etre contourner mais bon beaucoup ne le savent pas et ceci n'est surement pas @ faire savoir à tous le monde .

Pour la sécurité de vbulletin alors tous d'abord de ma part je te conseillerez :
1)Être toujours à jour dans t'es version de vbulletin .
2)Regarde sur le forum tu trouvera beaucoup de chose qui pourront bien t'aider question sécurité .
Comme exemple la je viens dans installer un qui permet de savoir quand quelqu'un essai de penetrez dans ton admin il t'envoi un email avec le login le pass qu'il a rentrer son ip et d'autre infos bref il y a des petite choses bien sympa .

Mais bon une fois pour finir avec sa tu sais la sécurité actuel et vraiemnt un sujet tres vaste concernant les forum car tout et possible donc sujet à voir sur une période plus longue @+

Merci Johan, je l'ai installé le hack en question et il marche, à condition que le petit malin essaie de se connecter au CP en utilisant le login d'une personne de l'equipe d'administration... j'ignore s'il y a moyen de le contourner, mais je sais qu'il ne filtre pas les IP..

Par contre, oui, je vais jeter un oeil sur le forum pour voir si je trouve quelquechose ;)

lu Dark ;)

si tu trouve qq chose d'intéressant, fais signe s19

Lut Socrate, tu vas bien ?

Oui, je pose la question à mon hébergeur là, car à mon avis, cela depend de lui quant à la secu de son htaccess et du script eventuel qui le protege ;)

très bien merci !

@Bientot ;)

Ben je crois ke je vais faire une reponse de "normand" a cette kestion :

Kelkun de motivé et compétent arrivera toujours a hacker ton board ... ( En fait la protection d'un board fonctionne sur les memes principes ke la protection d'un serveur)

Moi la facon la plus efficace ke g trouver pour eviter les emmerdes c :

- Protection de base pour eviter de se faire nicker sur des exploits simples et facilement trouvable sur le net.

- Une extreme vigilance ( il est toujours plus simple de parer une attack lorskon s'en apercoit desuite )

- Ensuite vraiment faire du social avec mes membres et essayer de gerer au mieux les eventuels conflits (voire les anticiper )
Ca prend du temps et ca demande de l'experience mais c kan mieux et plus rassurant de voir un membres banni partir avec le sourire ou du moins sans rancoeur ke d'entendre kil vas hacker ton site dans les prochains jours !!

- Ensuite eviter les polemique les sites "concurents" ...

En conclusion je dirais ke si un hacker digne de ce nom passe un jour par hazard sur ton site:
il ne te le coulera pas mais generalement te donnera des éléments pour ke tu puisses eviter ke kelkun de mal attentionné n'efface ton site ...

Voilou je sais ke c pas une reponse tres technique mais bon ...

PS: Faites des backup regulierement ca evite les mauvaises surprises ;)

a ce sujet je me posais une question...

En mettant un hack (ou en le faisant) qui verifie a la création du compte la ville et le Fai du mec, stockable en bdd et que si kk'un essaye de se connecter en provenant "d'ailleurs" que ca ban l'ip et que ca te prévienne.. ca doit etre une bonne mesure de sécurité non?

Ta reponse de Normand me donne pas mal d'indications, merci Nzo ;) lol je vais continuer à chercher ;)

Originally posted by darkness
a ce sujet je me posais une question...

En mettant un hack (ou en le faisant) qui verifie a la création du compte la ville et le Fai du mec, stockable en bdd et que si kk'un essaye de se connecter en provenant "d'ailleurs" que ca ban l'ip et que ca te prévienne.. ca doit etre une bonne mesure de sécurité non?

Oui effectivement je suppose, à condition que ton hack filtre les IP (proxies alternés) et qu'il bannisse rapidement, par exemple au bout de 3 tentatives de connection pour obliger le lamer à ressayer 24 heures apres. C'est ce que je recherche ;) Alors si en plus le hack t'envoie un mail, c'est le perou e5 Ah oui, il faudrait aussi que le hack limite le nombre de tentatives de connection au cp, hormis pour certaines IP, celles des admins, de maniere a eviter une tentative de flood par plusieurs machines en même temps... Seulement pour faire ce hack, il faut toucher en p.h.p ;)

Si tu as des infos Darkness, fais en profiter tout le monde, merci ;)

non je n'ai pas ce hack et je ne sais pas s'il existe, a mon avis oui ca a du en interpeller plus d'un.. si quelqu'un l'a en us a la limite je veux bien le traduire.

C'est une des questions que je me suis posé ces derniers jours mais bon j'avais des trucs a faire donc toutes ces questions sont en plan.

En fait, il sagit d'un exemple de script php payant qu'il est possible de trouver sur le net, mais il doit être adapté pour vbulletin pour fonctionner ;)

euh question corbu... quand on vire l'html completement de la board, c la peine ou pas de bannir ces mots ???

j'ai pas capté.. ou est passé le message de corbu .?

Je sens que je vais le créer ce hack, indépendamment d'éventuelles versions existantes. Ca me titille depuis quelque temps. Je me dis toujours que l'admin devrait recevoir une alerte en cas d'essais répétés et ratés de connexion au panneau de contrôle. Et je pense même rajouter une fonction pour bloquer automatiquement les comptes si les tentatives sont vraiment très nombreuses (sous condition, évidemment, afin d'éviter les risques de bloquage du forum). Que pensez-vous d'une modification automatique du mot de passe après 10 tentatives ratées ? N'y aurait-il pas en fait un risque que le hacker en profite pour essayer de choper le mail avec le nouveau mot de passe ?

De toute manière, il ne doit pas être trop compliqué, à l'usure, d'obtenir un mot de passe d'admin vu que les connexions au logiciel ne sont pas sécurisées.

Comme exemple la je viens dans installer un qui permet de savoir quand quelqu'un essai de penetrez dans ton admin il t'envoi un email avec le login le pass qu'il a rentrer son ip et d'autre infos bref il y a des petite choses bien sympa .
c kel hack celui la car il a l'air interessant ;) !!!

Une petite idée:
faites installer par vos membres un dyndns du type no-ip.com sur leur bécane ... ce soft doit tourner en résident sur leur machine et être updaté à chaque connection sur le net (généralement ça se fait tout seul) ...
Donc à chaque fois que le membre veut se logguer sur le board, on récupère son ip et on effectue une résolution dns sur son no-ip afin d'en récupérer l'ip ... ensuite une simple comparaison entre les deux ips pour savoir si ce sont les mêmes doit suffire ...

Si ce sont les mêmes, on laisse rentrer le membre sinon ... il reste à la porte.

Juste une idée ... facile à mettre en place ;)