mardi 15 avril 2025

CHECKLIST SÉCURITÉ MOODLE


 

CHECKLIST SÉCURITÉ MOODLE

🔐 1. Sécurité du serveur

  • Moodle et plugins à jour (dernière version stable)

  • Serveur Web à jour (Apache/Nginx, PHP, MySQL/MariaDB)

  • Pare-feu actif (ufw, firewalld, etc.)

  • Accès SSH sécurisé (clé SSH, port modifié, désactivation root)

  • Sauvegardes régulières automatiques (code, base de données et fichiers)

  • HTTPS activé avec redirection forcée

  • Logs activés et monitorés (fail2ban, audit logs)

  • Permissions de fichiers restreintes

    • Fichiers : 644

    • Dossiers : 755

    • config.php : 600

🧩 2. Configuration de Moodle

  • $CFG->wwwroot en https dans config.php

  • HTTPS forcé dans l’interface
    (Administration > Sécurité > Paramètres de sécurité du site)

👤 3. Sécurité des utilisateurs

  • Politique de mot de passe activée (longueur, complexité)

  • Déconnexion automatique après inactivité
    (Administration > Serveur > Gestion des sessions)

  • Limiter les tentatives de connexion (captcha + délais)

  • Forcer la vérification email à l'inscription

  • Désactiver les comptes inactifs après X jours

  • Utiliser SSO ou LDAP si possible (pour les entreprises)

🔧 4. Gestion des rôles et permissions

  • Revue régulière des rôles personnalisés

  • Pas de permissions inutiles pour les rôles "Étudiant" / "Invité"

  • Désactiver les inscriptions automatiques publiques si inutile

  • Vérifier que seuls les admins ont les droits critiques

📦 5. Plugins & extensions

  • Utiliser uniquement des plugins officiels ou vérifiés

  • Supprimer les plugins non utilisés

  • Vérifier les mises à jour de plugin régulièrement

🧑‍💻 6. Sécurité applicative

  • Activer les headers de sécurité dans le serveur web :

    • Content-Security-Policy

    • X-Frame-Options: SAMEORIGIN

    • X-XSS-Protection: 1; mode=block

    • Strict-Transport-Security

  • Supprimer le fichier install.php après installation

  • Empêcher l’indexation par les moteurs de recherche (robots.txt si nécessaire)

🛠️ 7. Surveillance et audit

  • Activer et consulter les journaux d’activité (logs Moodle)

  • Intégrer à un outil de monitoring (Zabbix, Grafana, Uptime Robot…)

  • Activer les notifications de mise à jour

💾 8. Sauvegardes

  • Sauvegarde automatique quotidienne de la base de données

  • Sauvegarde automatique des fichiers utilisateurs (dossier /moodledata)

  • Sauvegardes stockées hors serveur de production

  • Test de restauration effectué régulièrement

Publié par à
Libellés : , , , ,

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)