Sécurité

A partir de Elgg 3.0 plusieurs paramètres de sécurisation ont été ajoutés à Elgg. Vous pouvez activer/désactiver ces paramètres comme vous le souhaitez.

Protection des mises à niveau

L’URL de mise à niveau http://your-elgg-site.com/upgrade.php peut être protégée par un jeton unique. Ceci évite que des utilisateurs aléatoires aient la possibilité d’exécuter ce fichier. Le jeton n’est pas nécessaire pour les administrateurs du site connectés.

Protection du Cron

Les URLs du cron peuvent être protégées par un jeton unique. Ceci évite que des utilisateurs aléatoires puissent exécuter le cron. Le jeton n’est pas nécessaire quand le cron est lancé depuis la ligne de commande du serveur.

Désactiver l’autocomplétion du mot de passe

Les données saisies dans ces champs seront mises en cache par le navigateur. Un attaquant qui a accès au navigateur de la victime pourrait subtiliser ces informations. Ceci est particulièrement important si l’application est utilisée habituellement depuis des ordinateurs partagés tels que des cybercafés ou des terminaux d’aéroports. Si vous désactivez ceci, les outils de gestion des mots de passe ne pourront plus renseigner automatiquement ces champs. Le support pour l’attribut « autocomplete » peut dépendre des navigateurs.

Le changement d’adresse e-mail requiert le mot de passe

Quand un utilisateur souhaite changer l’adresse e-mail associée à son compte, il doit également donner son mot de passe actuel.

Le changement d’adresse e-mail nécessite une confirmation

Lorsqu’un utilisateur souhaite modifier l’adresse e-mail associée à son compte, il doit confirmer la nouvelle adresse e-mail. Cela se fait en envoyant un e-mail à la nouvelle adresse avec un lien de validation. Après avoir cliqué sur ce lien, la nouvelle adresse e-mail sera utilisée.

Icônes liées à la session

Les icônes d’entité peuvent être liées par défaut à une session. Cela signifie que les URL générées contiennent également des informations sur la session en cours. Le fait d’avoir des icônes liées à la session rend les URLs des icônes non partageables entre les sessions. L’effet secondaire est que la mise en cache de ces URL ne bénéficiera qu’à la session active.

Notification aux administrateurs du site

Quand un nouvel administrateur de site est ajouté ou quand un administrateur du site est retiré tous les administrateurs du site reçoivent une notification à ce sujet.

Notifications à l’utilisateur

Administrateur du site

Quand le rôle d’administrateur du site est ajouté ou retiré à un compte, envoie une notification à l’utilisateur dont le compte est concerné.

Bannir (ou réintégrer)

Quand le compte d’un utilisateur est banni ou réintégré, permet à l’utilisateur concerné d’être informé de cette action.

Longueur minimale de l’identifiant

Vous pouvez configurer la longueur minimale de l’identifiant lors de l’inscription d’un utilisateur.

Exigences minimales en matière de mot de passe

Vous pouvez configurer plusieurs exigences pour les nouveaux mots de passe des utilisateurs

  • longueur : le mot de passe doit comporter au moins x caractères

  • minuscule : nombre minimal de caractères minuscules (a-z) dans le mot de passe

  • majuscule : nombre minimal de caractères majuscules (A-Z) dans le mot de passe

  • nombres : nombre minimal de nombres (0-9) dans le mot de passe

  • specials : nombre minimal de caractères spéciaux (comme !@#$%^&*(), etc.) dans le mot de passe

Sécurisation de l’accès aux fichiers via .htaccess

Dans le fichier .htaccess, un ensemble de règles de durcissement de l’accès aux fichiers a été ajouté pour empêcher l’accès direct aux fichiers dans certains dossiers. L’activation de ces règles ne devrait pas causer des problèmes lorsque tous les plugins que vous utilisez suivent les directives de codage Elgg.

Voici quelques exemples de règles :

  • le dossier vendor. Ce dossier contient uniquement des bibliothèques que Elgg utilise et il n’est pas nécessaire d’accéder directement à ce dossier. Toutes les dépendances requises sont chargées depuis Elgg

  • le dossier languages. Ce dossier contient les principaux fichiers linguistiques de Elgg. Ces fichiers sont chargés à partir de Elgg