J'ai donc installé protector... jusque la pas de souci...

pour les

'session.use_trans_sid' : off ok
'XOOPS_DB_PREFIX' : xxxx ok
'mainfile.php' : patched ok
'Mot de passe de restauration' : ok

tout baigne!!

Par contre le .htaccess me pose des souci
je suis chez 1&1 il y a une option pour en editer un automatiquement, jusque la ok. puis je l'edite, je mets la fameuse "php_flag register_globals off" et argh error 500... je pige pas...la syntaxe a l'air ok pourtant (surement pas si ca bug^^)

Par ailleurs j'ai un "'allow_url_fopen' : on PEU SUR" mais je n'ai pas la moindre idée de ou trouver php.ini ou httpd.conf

A l'aiiide

Merci!

le module protector t'indique ce qui est le mieu coté securité mais un hébregement mutualisé ne te donnera pas acces a la configuration complète du server (notamment php.ini et httpd.conf) C'est une obligation pour l'hebergeur (bonjour le support sinon)

Bonjour,
je me permets de remonter ce post pour ne pas créer un nouveau thread puisque mes questions traitent du même sujet...

J'ai bien installé Protector, mais étant mutualisée (chez ovh) je ne suis pas sensée m'occuper d'un .htaccess ou des php.ini ou httpd.conf.(comme le dit Philou)

Cependant, mes autres messages d'insécurité m'inquiètent parce que je ne sais pas trop quoi faire, ni où ...

Voici ce que j'ai dans les conseils de secu de Protector :
___________________________________________________________

'register_globals' : on Non sécurisé
Ce paramètre attire une variété d'attaques par injection.
Si vous pouvez, mettez un fichier .htaccess (éditez le ou créez le selon le cas...

/monhome./monlog/monsite.fr/.htaccess

php_flag register_globals off


'allow_url_fopen' : on Non sécurisé
Ce paramètre permet l'exécution de scripts arbitraires sur des serveurs distants.
Seul l'administrateur du serveur peut changer cette option.
Si vous êtes dans ce cas, éditez php.ini ou httpd.conf.
Exemple pour httpd.conf:
php_admin_flag allow_url_fopen off
Sinon demandez le à vos administrateurs.

'session.use_trans_sid' : on Non sécurisé
Votre ID de session est affiché dans les balises ancre etc.
Pour prévenir des vols de sessions (hi-jackingà, ajoutez cette ligne à votre .htaccess situé dans le XOOPS_ROOT_PATH.
php_flag session.use_trans_sid off


'XOOPS_DB_PREFIX' : mon prefixe ok
Allez au gestionnaire de préfixe

'mainfile.php' : missing precheck Non sécurisé
Vous devez modifier votre fichier mainfile.php comme écrit dans le fichier README.
____________________________________________________________

Les parties rouges sont celles qui me posent probleme.
je précise que mon mainfile.php est en chmod 444

Merci pour vos conseils...

pour les paramétrages chez ovh, tu trouveras sur mon site perso un article dédié, ce qui te permettra de régler la plupart des messages sauf 1
pour le dernier message d'erreur en rouge, c'est que tu n'as pas installé protector correctement, relis les instructions

whoua merci pour ta réponse, vais m'enquerir illico des infos, trop cool de répondre vite, merci

Merci pour tes réponses, j'ai presque TOUT résolu ! Sauf mon mainfile...

Avant de remonter ce post j'avais bien suivi le cheminement : GUIDE DE SECURITE, puis lien vers http://xoops-tips.com/news-article.storyid-1.htm ou il est expliqué comment mettre son mot de passe et id hors de mainfile.php...

Mais je n'ai pas réussi la manip en local alors j'ai peur sur mon serveur... Je ne comprends pas comment faire cette manip :
Save the file as xoops-auth.php and upload to /home/yoursite.com/securedata

si je le mets en dehors du repertoire de mon site, le chemin n'est pas trouvé, et si je le mets dedans, ça sert à rien puisque il est donc à la racine du site comme le mainfile.php :-o

PS : je vais aussi avoir le même problème de sécurité avec le module Catads, puisque j'ai aussi mes id et mot de passe dans le fichier settings.php...

mais que faire !!!

j'ai bo reprendre depuis le début (dans la documentation et la faq + autres articles) je ne trouve pas comment enlever mes infos dans mon mainfile... Si je ne met pas mes infos en "clair" rien ne marche...

des liens vers d'autres tuto ?

Bon, ben voilà, j'ai trouvé... Mais bizarre j'ai comme un malaise, comme si j'avais passé beaucoup de temps à réunir des portions d'infos, et qui finalement sont tronquées ainsi je voudrais signaler ce post : https://www.frxoops.org/modules/smartfaq/category.php?categoryid=23

qui fait partie de la doc et qui comporte une erreur plutôt enorme pour une faq, alors voici le code COMPLET pur que dans protector il n'y ait plus de message d'alerte :

____________________________________________________________

define( 'XOOPS_GROUP_ADMIN', '1' );
define( 'XOOPS_GROUP_USERS', '2' );
define( 'XOOPS_GROUP_ANONYMOUS', '3' );
include( XOOPS_TRUST_PATH . '/modules/protector/include/precheck.inc.php' ) ;
if (!isset($xoopsOption['nocommon']) && XOOPS_ROOT_PATH != '') {
include XOOPS_ROOT_PATH."/include/common.php";
include( XOOPS_TRUST_PATH . '/modules/protector/include/postcheck.inc.php' ) ;

}
____________________________________________________________

voilà, merci à ceux qui m'ont répondu !

mer** j'ai mis l'entête résolu alors que je ne suis pas l'auteur du post, désolée, je sais pas comment l'enlever...