Renforcer la sécurité

TipOTipO Messages 150Moderateur
Bonjour,
lors de la création d'un compte administrateur, il me semble utile de souligner que les login 'admin', 'administrator' sont des points de vulnérabilté fréquemment explorés par les pirates.

Peut-on envisager d'inclure une mise en garde ?
- dans la doc, sur la page de configuration initiale
- lors de l'installation
- dans le fichier readme

Le script d'installation propose par défaut 'Admin'. Y a-t-il un inconvénient à laisser ce champ vide et forcer ainsi l'utilisateur à choisir un pseudo plus difficile à trouver ?
Je l'ai testé sur mes maquettes, sans inconvénient apparent.

Par ailleurs, je verrais bien l'option captcha complexe activée par défaut.


Débutant explorateur. ZwiiCMS installé sur serveur local : MAMP Mac, Php 7.4.2
Migration en préparation…

Commentaires

  • fredfred Messages 671Administrateur
    Bonjour,
    Tu as parfaitement raison sur cette précision, en cas d'attaque par brute force, les logins sensibles comme admin ou root sont toujours des cibles. C'est pourquoi ils ne doivent jamais être employés comme nom d'utilisateur (login).
    La bonne pratique est d'utiliser un pseudo (utilisé dans les signatures des articles) qui soit différent, de manière à ne pas donner d'indice à un éventuel hacker. De la même manière, le fichier htaccess qui protège le sous-dossier site/data/ ne doit jamais être supprimé ou modifié, faute de quoi les logins seront accessibles ; les mots de pass sont cryptés, mais bon...
    Je vais te rassurer pour Admin, c'est un pseudo et non un user id. Il ne peut pas être utilisé pour se connecter, ce qui d'ailleurs peut donner une fausse piste à un hacker.
    Tu as les accès à la doc, si tu veux bien rédiger l'avertissement, je le copierai dans le readme et j'ajouterai une mise en garde.



    The f....g boss
  • TipOTipO Messages 150Moderateur
    Ok, je m'en occupe.
    Merci pour les précisions sur Admin. Pour ma part, je pratique depuis longtemps la dissociation pseudo ou nom public du login.
    Ma méfiance date de mes débuts sur internet et elle persiste…
    Débutant explorateur. ZwiiCMS installé sur serveur local : MAMP Mac, Php 7.4.2
    Migration en préparation…
Connectez-vous ou Inscrivez-vous pour répondre.