Une vue d'ensemble de la sécurité est disponible dans la rubrique "Vérifications de sécurité" de l'administration du site.
- register_globals est un paramètre PHP qui doit être désactivé pour que Moodle fonctionne en toute sécurité.
- Le dossier de données est le répertoire dans lequel Moodle stocke les fichiers utilisateurs. Il ne devrait pas être directement accessible via le web.
- Si PHP est configuré pour afficher les erreurs, n'importe qui peut entrer une URL erronée, ce qui oblige PHP à fournir des informations précieuses sur la structure des répertoires, etc.
- Le répertoire des fournisseurs ne doit pas être présent sur les sites publics.
- L'utilisation du plugin "pas d'authentification" peut être dangereuse, car elle permet d'accéder au site sans authentification.
- Permettre aux utilisateurs ordinaires d'intégrer Flash et d'autres médias dans leurs textes (par exemple, les messages de forum) peut être un problème car ces objets rich media peuvent être utilisés pour voler l'accès administrateur ou enseignant, même si l'objet média est sur un autre serveur.
- Même le filtre de média flash peut être abusé pour inclure des fichiers flash malveillants.
- Les profils d'utilisateurs ne devraient pas être ouverts au Web sans authentification, à la fois pour des raisons de confidentialité et parce que les spammeurs disposent alors d'une plate-forme pour publier du spam sur votre site.
- Permettre à Google d'accéder à votre site signifie que tous les contenus deviennent accessibles au monde entier. Ne l'utilisez pas à moins qu'il ne s'agisse d'un site vraiment public.
- L'utilisation d'une politique de mots de passe forcera vos utilisateurs à utiliser des mots de passe plus forts qui sont moins susceptibles d'être piratés par un intrus.
- La définition du salage de mot de passe réduit considérablement le risque de vol de mot de passe.
- En règle générale, vous devriez toujours forcer les utilisateurs à confirmer les changements d'adresse de courriel via une étape supplémentaire où un lien de confirmation est envoyé à l'utilisateur.
- Il est recommandé d'utiliser des cookies sécurisés uniquement lorsque vous utilisez SSL. Il est recommandé d'utiliser des cookies sécurisés uniquement lorsque vous utilisez SSL.
- Le fichier config.php ne doit pas être inscriptible par le processus du serveur web. Si c'est le cas, il est alors possible qu'une autre vulnérabilité permette aux attaquants de réécrire le code Moodle et d'afficher ce qu'ils veulent.
- Make sure that you trust all the people on this list: they are the ones with permissions to potentially write XSS exploits in forums etc.
- Vérifiez vos comptes d'administrateur et assurez-vous que vous n'avez que ce dont vous avez besoin.
- Assurez-vous que seuls les rôles qui ont besoin de sauvegarder les données des utilisateurs peuvent le faire et que tous les utilisateurs qui en ont la capacité sont fiables.
- Ceci vérifie que le rôle de l'utilisateur enregistré est défini avec des permissions saines.
- Ceci vérifie que le rôle de visiteur anonyme est défini avec des permissions saines.
- Ceci vérifie que le rôle de l'utilisateur de la page d'accueil est défini avec des permissions saines.
Voir aussi
- Forum sur la sécurité et la confidentialité sur moodle.org