Protégez les fichiers de votre site web avec cette simple astuce

Savez-vous qu’il est très facilement possible à n’importe qui de voir les fichiers qui composent votre site si vous ne les empêchez pas de faire ?

Il s’agit d’une faille de sécurité au sein de votre site, qui permet à des personnes malveillantes de se balader sur votre serveur, étudier vos fichiers, voir leur contenu (et donc les voler) et trouver des informations sensibles.

En fait, le hacker en herbe n’a rien de très compliqué à faire : il suffit de taper l’url de l’un de vos dossiers. Je vous montre comment.

Par exemple, si je fais un clic droit sur une image de mon site et je clique sur « ouvrir l’image dans un nouvel onglet ».

Firefox permet de télécharge n'importe quelle image

L’image s’affiche (on s’y attendait un peu), et dans la barre d’adresse se trouve L’URL de cette image, bien visible:

Comment protéger les fichiers de son site web

Sur WordPress, les images ont souvent une url de ce type : http://monsite.fr/wp-content/uploads/monimage.png

Ce qui veut dire que l’image monimage.png se trouve sur le serveur qui abrite monsite.fr, dans le dossier « uploads », lui-même inséré dans le dossier « wp-content ». Vous suivez toujours ?

Si vous effacez monimage.png de la barre d’adresse, et cliquez sur « entrée », vous demandez au navigateur de vous afficher le contenu du dossier « uploads »…et vous pourrez ainsi obtenir un listing de tous les fichiers inclus dans ce répertoire.

Si vous, vous ne sauriez pas quoi en faire, il existe des personnes mal-intentionnées qui sauront en tirer profit.

Ouhlà, ça sent mauvais cette histoire ! Mais comment se protéger ?

Rassurez-vous, la manipulation pour vous protéger est assez simple (en fait il en existe plusieurs mais je vais vous montrer la plus facile). La seule condition est de savoir vous servir d’un logiciel FTP. Et si vous ne savez pas, et bien il est temps d’apprendre. 😉 Je vais vous guider pas-à-pas.

Le principe : comment protéger vos fichiers ?

Tout d’abord, il faut comprendre que si votre navigateur accepte d’afficher la liste de son contenu, c’est parce qu’on ne lui a pas dit d’afficher autre chose. Et oui : c’est bête un ordinateur, ça fait ce qu’on lui dit.

A nous donc de :

  • soit lui interdire d’afficher son contenu ; on montrera un message du type « il est interdit d’accéder à ce répertoire » à la place (c’est une bonne solution mais plus complexe à mettre en place)
  • soit lui donner un fichier à ouvrir par défaut (c’est ce que nous allons faire)

Un navigateur va toujours préférer ouvrir un fichier HTML plutôt que d’afficher la liste des fichiers qu’il contient. C’est un comportement par défaut : c’est à dire que vous n’avez rien à faire pour que ça marche (excepté lui donner un fichier). En fait, pour être précis : ce fichier HTML doit s’appeler index.html.

Notre manipulation va donc consister à envoyer dans chaque répertoire un fichier nommé index.html. Ainsi, si quelqu’un essaye d’accéder à http://monsite.fr/wp-content/uploads/ il sera automatiquement redirigé vers http://monsite.fr/wp-content/uploads/index.html

La manipulation pour empêcher la visualisation de vos fichiers

1/Préparer le fichier index.html

Si vous voulez faire simple, créez simplement un fichier dans notepad et copiez-collez ce code :

<!DOCTYPE html>
<html>
  <head>
    <title>Zone interdite</title>
    <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
  </head>
  <body>
    


<h1>Zone interdite</h1>


Le contenu de cette zone n'est pas autorisé.
  </body>
</html>

Ensuite, enregistrez-le et nommez le index.html (il faut que vous affichiez les extensions sur votre ordinateur pour être sûr que votre fichier est bien de type .html et non .txt).

Pour aller un peu plus loin, vous pouvez y insérer un message, voire même une image.

2/Lancer Filezilla (logiciel FTP) et vous connectez à votre serveur

Avant de chipoter sur votre serveur en FTP, faites toujours une sauvegarde de votre site pour vous protéger en cas de mauvaise manipulation !

Téléchargez Filezilla sur le site officiel et installez-le.

Lancez-le et inscrivez les 3 identifiants FTP de votre site : hôte, login et mot de passe dans les endroits prévus

Ces données vous ont été envoyées par votre hébergeur lors de l’achat de votre hébergement.

3/Envoyer le fichier sur votre serveur

  • Dans la zone 1, trouvez le dossier contenant le fichier index.html. Dans mon exemple, le fichier est sur le bureau.
  • Dans la zone 2, sélectionnez le dossier dans lequel vous souhaitez placer le fichier index. Ce dossier sera alors protégé de toute visualisation. Il s’agit de « upload » dans l’exemple.
  • Dans la zone 3, sélectionner le fichier avec un clic droit.
  • Cliquez sur Envoyer
  • Le fichier se retrouve dans la zone 5 (si vous ne le voyez pas, clic droit sur la zone et « actualiser »).

4/Testez que vos dossiers sont à présent inaccessibles !

Si vous tapez l’url https://dessinemoiunsite.com/wp-content/uploads/, vous arrivez sur une page blanche. Votre site est protégé !

 

Crédit photo : Jason Blackeye

Enregistrer

Publications similaires

Un commentaire

  1. Bonjour, c’est super de tout camoufler, mais pour une raison x ou y si je souhaite accéder à un dossier stocker sur FTP qui lui est protéger par un mot de passe du coup il ne va pas s’afficher et je ne pourrai pas y accéder en rentrant mon id et mot de passe ? merci à vous

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *