Bonjour à tous.
Je dois installer un site PHP/Mysql sur un serveur IIS.
J'ai accès au répertoire racine de mon site et j'ai les droits necessaires sur le serveur SQL.
Le site de test est actuellement fonctionnel, mais n'est pas encore dispo pour les raisons suivantes
Je constate deux problemes importants qui demandent votre aide:
- le site a un nom de domaine (www.monsite.fr). Ju'qu'ici tout va bien. Le problème est que, si j'accède à ce site via l'adresse IP du serveur, ça devient la folie !
Si je rentre l'url:
http://xx.xx.xx.xx/repertoireRacineDuSite/
sous firefox on me prpose de télécharger un fichier de type application/octet stream
sous IE ça affiche la page html avec le source Php non interpreté
http://xx.xx.xx.xx/repertoireRacineDuSite/index.php
sous firefox on me propose de télécharger le fichier index.php (source php entièrement visible! c'est le même que sur le serveur)
Donc il ya un gros souci niveau sécurité, c'est comme si php n'était pas installé sur la machine: aucune interprétation, code visible en clair.
Après c'est pas bien difficile de faire un ping sur le nom de domaine pour récupérer l'Ip et chopper le source soit même...
Que faut-il faire svp? (sachant que le proprio du serveur, un particulier, à l'air d'y comprendre .... rien du tout :p , et je suis plus à l'aise sous apache que IIS)
- Au niveau protection des répertoires, j'aimerais savoir comment faire. J'ai un répertoir dédié à l'administration du site (à la racine, je sais c pas top niveau sécurité mais j'ai pas pu faire autrement). J'aimerais donc protéger correctemen tout ça. J'ai tenté .htaccess, il n'en veut pas. Une solution php? ben à part un formulaire et une vérification CGI je n'ai pas trouvé d'autre solution... Pour le listage des répertoires, visiblement une sécurité à déjà été mise en place (impossible de lister un répertoire ne contenant pas d'index.php, mais on peut toujours accéder au contenu en indiquant dossier/fichierAuHasard.extension )
Je me trouve das une situation assez délicate et vu l'incompétance de l'admin (c'était pas mon boulot à l'origine :'( ) j'aimerais qu'on m'indique les marches à suivre pour sécuriser un peu tout ça de façon "locale" (c'est à dire sans avoir accès à la config de IIS) ou, si une intervention de l'admin est necessaire, expliquer les marches à suivre.
En vous remerciant
Partager