Logo Khaganat
Traductions de cette page?:

Ceci est une ancienne révision du document !


Faire un site web comme Khaganat

Vous trouverez pleins de tutoriels sur internet sur divers CMS pour faire de superbes sites, et même comment faire des sites de zéro. Cet article ne prétend pas faire plus complet. Cependant, si vous appréciez certains des outils que nous utilisons, si vous voulez faire “comme ici” mais chez vous, nos solutions sont détaillées dans les pages suivantes.

Et puis, ça nous aide aussi quand on a besoin de bidouiller…

La sécurité et le web

Vaste sujet, mieux vaut se former en douceur.

À savoir qu'il y a principalement trois sortes d'attaques sur un site web :

  • Attaque généraliste. Le but de l'attaquant est d'exploiter des failles connues pour prendre possession de serveurs/sites. La façon la plus simple pour s'en protéger est d'avoir son système (sous linux) et ses CMS à jour, et de ne pas faire comme tout le monde mais en toute sécurité (simplement de changer le nom d'utilisateur de base, les endroits où sont les CMS, etc). Ces attaques font des dégâts surtout chez les néophytes mais peuvent s'éviter assez facilement en principe.
  • Attaque ciblée : ça veut dire que quelqu'un vous en veut, personnellement. S'il est à moitié bon, il arrivera à ses fins, quoi qu'il arrive. Pour contrer ça :
    • Ne vous fâchez pas avec les gens ;
    • Ne devenez pas une cible intéressante (petit et caché, vous êtes peinard) ;
    • Devenez un pro de la sécurité et veillez à tous les détails1).
  • Spam : tout le monde y a droit. Ce n'est pas “grave”, mais désagréable. Les CMS ont divers outils pour contrer ça et faire le ménage, plus ou moins efficace. Chaque fois que possible, interdisez aux utilisateurs non connectés de poster, et mettez une question personnalisée propre à votre site pour l'enregistrement des utilisateurs. Les questions personnalisées sont plus efficaces que les captchas, et moins pénibles pour les humains.

Soyez humble. Il est très facile d'exploiter les failles d'un site web, et très long et complexe de tout savoir sécuriser. Prenez les conseils qu'on vous donne, même quand ils viennent d'un individu désagréable qui est entré chez vous par effraction : ça évitera de se faire avoir deux fois de suite. Soyez conscient que la plus grosse faille du système est en train de lire ces lignes : le crack, ce n'est pas forcément des lignes de code, c'est souvent juste être au bon endroit pour lire votre mot de passe.

Et donc, puisque que vous risquez fort probablement de vous faire cracker un jour : faites des backups ! sauvez votre site, sur un autre ordinateur, voir plusieurs.

Quelques articles sur des pratiques permettant d'augmenter la sécurité de votre site :

  • connexion_serveur_admin : générez une clé GPG pour dire “coucou c'est moi” en entrant dans votre serveur, et éviter ainsi que ses clés à lui soient visibles partout. Minimise les risques de noter sur papier/cloud ses mots de passe, à la portée du premier voleur venu, vu qu'il y en a moins à retenir.
  • Pass, un petit logiciel très simple qui permet de stocker de façon sécurisé ses mots de passe, et aussi de les partager au sein d'une équipe. Non, on n'écrit pas ça en clair dans un mail ou sur IRC !!!!

Choix d'un outil : "tout faire" ou "KISS" ?

Cela nous a pris du temps (et des tests) pour se décider.

Il existe des CMS très complets, qui permettent de faire “tout” en une seule installation : forum, gestion des paies, blog, calendrier, mail, etc. Malheureusement, d'après notre expérience, ces CMS sont souvent très compliqués à prendre en main, difficiles à personnaliser dans les moindres détails, bourrés de trucs qui finalement ne nous servent à rien mais alourdisse le système et la compréhension, et jamais complètement adapté à nos besoins sur un problème précis. Et quand ça plante, tout plante. Bon, sinon, ils ont l'avantage d'avoir une authentification unifiée de base, un style unifié aussi, et puis une fois qu'on a appris à s'en servir, ben y'a plus besoin d'apprendre d'autres choses.

D'autres CMS se contentent de faire une chose, mais de la faire à fond. Par exemple des CMS comme PhpBB ou SMF fournissent principalement le côté forum2) : mais ces forums sont complets, avec tout ce qu'on peut attendre d'un forum, avec des modules pour leur ajouter quelques fonctionnalités au besoin. L'intérêt des CMS qui font “une chose à la fois” c'est qu'ils sont souvent plus simples à installer et à comprendre, la courbe d'apprentissage est plus rapide, ils sont plus simples à personnaliser/adapter/modifier, il y a moins de choses qui ne serviront jamais. Par contre, cela peut être difficile d'harmoniser plusieurs CMS sur le même site, y compris au niveau de la connexion.

Nous avons préféré la seconde solution. Cela nous permet de déléguer à diverses personnes les administrations d'un élément ou de l'autre et nous avons pu apprendre en douceur (malgré un grand manque de compétences initiales). Le fait de pouvoir facilement répartir les tâches, y compris à des gens sans grande connaissances informatiques, a permis que l'ensemble fonctionne et voit le jour. Lorsqu'un élément ne nous convenait pas, il a été plus facile de le remplacer.

“Fait une chose à la fois, et fait-la bien” est une philosophie qui nous a bien convenu. Mais tout dépend des projets et des compétences des gens…

Choix des CMS

article en cours de rédaction !

zatalyz 2015/07/08 16:23

1)
Bonne chance. Les deux premiers conseils sont la priorité…
2)
Et une messagerie privé. Et un calendrier. Personne n'est parfait.
CC Attribution-Share Alike 4.0 International Driven by DokuWiki
fr/comme_ici.1436367990.txt.gz · Dernière modification : 2021/12/03 19:18 (modification externe)

Licences Mentions légales Accueil du site Contact