Petite question aux habitués…
si je mets un htaccess avec un htpasswd directement dans le répertoire de base (www), est-ce qu'il y a moyen de hacker un de ses 2 Fichiers ? (a part via ftp… 
)
J'en ai un peu marre des gars qui tentent d'atteindre des fichiers qui n'existent pas pour trouver une faille, qui un jour en trouveront surement une… donc je me dit qu'en mettant cela directement au début, je les bloque d'entrée… moi j'ai juste un mot de passe en plus a mettre, c'est pas la mort…
Mais je voulais savoir si ca bloquait vraiment tout, ou malgrés tout c'était "hackable"…
Merci !!
si je mets un htaccess avec un htpasswd directement dans le répertoire de base (www), est-ce qu'il y a moyen de hacker un de ses 2 Fichiers ? (a part via ftp... :) )
En principe : NON.
Cela dépendra aussi de la complexité du mot de passe que vous aurez mis.
Merci !
J'en ai un peu marre des gars qui tentent d'atteindre des fichiers qui n'existent pas pour trouver une faille
Tu le vois comment ça?
Dans les logs.
j'ai raccourci les exemples des pages qu'ils testent, j'ai du bloquer l'ip, car il a testé presque 1000 noms de fichiers différents. et aucun des fichiers n'existent réellement
../pics/wp-content
../inc/cache/users.csv
../pics/cache/sales.log
../cache/sales.xls
../admin/config.inc
…
je n'étudie pas les log tout les jours, c'est parce que je regarde de temps les hits de connexion dans l'admin, et les hits 4xx ont explosé durant quelques heures…
J'ai aussi découvert cela il y a 3-4 ans : c'est impressionnant le nombre de 404 générés par des robots qui parcourent le net à la recherche de fichiers vulnérables.
Le top c'est les accès aux fichiers de Wordpress alors que je ne l'utilise même pas.
Allez tous voir vos 404 vous serez surpris !
et autorisé l'accès sur base de l'ip dans le htaccess c'est sûr ? ou c'est possible de changer sont ip par celle que l'on veut ?
car je pourrais mettre dans le htaccess que tous ceux qui ont telle ip (on a une ip fixe) peuvent y accéder et les autres doivent mettre le mot de passe (pour quand on est en déplacement)…
je devrais suivre une formation en hacking… :o)
Pour savoir comment whitelister des IP, tu devrais regarder ici par exemple : https://stackoverflow.com/questions/4400154/deny-all-allow-only-one-ip-through-htaccess
en revanche pour le besoin de déplacement (IP d'une connexion 4G ou wifi public, …) je ne vois pas comment cela peut être compatible avec le whitelistage.
Ok @ThomasB7 et @ManuelD1, il faudra que je regarde ça. Il est arrivé que OVH ait détecté ce genre de chose sur un des mes VPS, et ils me l'ont (je ne sais plus comment ils appellent ça : "mitigation") bref mi hors ligne pendant l'attaque, puis remis en fonctionnement, mais cela ne m'est pas arrivé en mutualisé jusqu'à présent.
Merci.
J'ai pas encore vraiment tester, mais j'avais trouvé quelque chose comme ca
< If "%{REMOTE_ADDR} != 'xxx.xxx.xxx.'" >
AuthName "Page d'administration protégée, veuillez vous identifier"
AuthType Basic
AuthUserFile "/home/../../../test/.htpasswd"
Require valid-user
< /If >