Slt,
DSL pour ce qui t'arrives mais tu as très bien résumé la situation.
Concernant les hackers, de véritables connards selon moi, c'est un peu comme les développeurs (attention c'est juste une image). Pour développer, ou du moins pour débuter, on va commencer par regarder un 'petit' programme, ou à l'image de Xoops, un petit module, avant de passer au plus gros et ainsi de suite.
Pour ces imbéciles, c'est la même chose, il plus facile de débuter et de s'attaquer à un petit site (histoire d'avoir des résultats plus rapidement) que de tenter de s'attaquer aux grosses pointures.
Le vrai hacker tapera dans les virus et autre à grande échelle, le petit con, qui en l'occurence pour moi est déjà un gros con, tapera dans le petit.
Regarde les cambrioleurs, c'est la même chose, celui qui viendra tout fraccasser chez le 'commun des mortels' pour quelques francs, n'aura rien à voir avec le cambrioleur qui s'attaquera à une banque (enfin la plupart du temps).
Enfin bref, que faut-il faire.
En parcourant ce forum une chose qui me semble assez incroyable, c'est le nombre apparant d'utilisateur (webmaster) qui n'ont que la version on-line de leur site. (je parle ici de généralité, je ne sais pas si tu es dans ce cas là).
Premièrement c'est hyper dangereux déjà d'un point de vue piratage (on vient de le voir), mais à mon avis, le plus dangereux dans ce cas, n'est même pas le piratage mais le webmaster lui-même. Pourquoi ?
- Combien de 'webmaster' dans ce cas, font leur mise à jour directement sur le site on-line ?
- Combien de 'webmaster' modifie-t-il leurs templates, voir même leurs fichiers PHP directement en ligne ? ...
Toutes ces manoeuvres sont bien plus dangereuses (car plus fréquentes) que le hackage. Il suffit de voir le nombre de 'pages blanches' et autres problèmes mentionné ici.
Alors comment faire ?
Voici comment nous gérons ce problème : Notre charte de sécurité prévoit :
En local (év. easyphp ou mieux encore, wampserver) :
- un site de développement par version de Xoops (chaque version que nous avons encore en production). Ces sites 'tests' permettent de tester les mises à jours, de faire tourner des modules pour voir si les versions sont compatibles, d'effectuer des modifications de code, ... Au moindre problème nous reprenons la précédente version (sauvegrade journalière et avant chaque interventions majeures)
- une copie de chaque site on-line (appellé aussi site de production). C'est à dire que nous avons les mêmes fichiers en local que sur le site on-line. Seul un décalage entre les base de données est inévitable, vu que les internautes alimentent le site on-line.
On-line (hébergeur ou propre serveur)
Chaque site on-line dont nous nous occupons est donc une simple copie de la version 'en local' que nous maintenons.
Reste maintenant le problème des bases de données, et là tu as deux solutions :
1) soit tu sauvegarde comme un malade à une certaine fréquence tes données (script automatique possible), ceci en fonction de ton trafic et de la valeur que tu donnes à tes donneés.
2) soit tu choisis un hébergeur, mais un bon hébergeur et pas une espèce de société qui promet 'Monts et merveilles' (La-dedans je colles tous les hébergeurs gratuits,v oir même certain qui vont payer des services déplorables), qui lui te sauvegardera une fois par jour, voir plus, ta base de données. Tu en as même qui te proposent des espaces de sauvegarde personnels pour sauvegarder tes données les plus précieuses.
Cette façon peut paraître très contraignante, mais lorsqu'il t'arrive un pépin comme tu viens de le vivre, je pense que cela en vaut la peine.
Je terminerais par dire, que ceci nous permet, de limiter la casse au niveau du hackage, notamment au niveau des petits cons que je mentionnais précédemment
Ca pourrait être intéressant peut-être de voir si d'autres ont développés d'autres approches pour la sécurité de leur site