Sécurité

De
Sauter à la navigation Sauter à la recherche

Prévention

Lorsque l'on parle de sécurité, il ne faut négliger aucun aspect. Votre sécurité finale sera celle du maillon le plus faible de votre chaîne.

Si HaiSoft use de nombreux systèmes de protection (firewalls réseau et applicatifs, anti-bruteforce, etc.), soyez bien conscients qu'internet est une jungle où grouillent d'innombrables pirates et robots pirates qui attaqueront votre site et vos adresses email quoi qu'il arrive, qui que vous soyez, et dès lors qu'ils existent. Malgré nos protections, un piratage reste possible lorsque le propriétaire d'un domaine fait preuve de négligence : Absence de mises à jour, mots de passe trop simple, et votre site se retrouve piraté, et votre boîte mail se retrouve en libre accès et envoie du spam...

Afin d'éviter cela, de nombreuses bonnes pratiques simples mais essentielles vous permettent d'assurer une utilisation de vos services en toute sécurité.

Choisir de bons mots de passe

Vos mots de passe protègent l'accès à vos services. Que ce soit un accès FTP, à votre espace client, à Plesk, à votre boîte mail, vous souhaitez être la seule personne à accéder à vos services. De nombreux robots et utilisateurs malveillants parcourent le web à la recherche de mots de passe simples afin de profiter de vos accès, pour de l'envoi de spams, de la diffusion publicitaire, ou de la simple malfaisance. C'est pourquoi, il est primmordial de choisir des mots de passe sécurisés, que l'on appelle couramment de "bons mots de passe".

Un bon mot de passe doit:

  • Faire au minimum 8 caractères
  • Contenir minuscules, majuscules, chiffres et signes
  • Être unique

Un mot de passe ne doit pas:

  • Contenir des mots existants dans le dictionnaire
  • Contenir un quelconque mot en rapport avec le compte pour lequel il est utilisé
  • Contenir une suite facile (azerty, 123, 2017, etc)
  • Être basé sur des informations vous concernant (dates de naissance, adresse, nom de l'animal de compagnie, etc.)

Utiliser SSL/TLS

Lors de votre utilisation d'un service en ligne quel qu'il soit, vous échangez des données avec le serveur. Nous pouvons imaginer qu'un individu présent sur le réseau entre vous et le serveur, ou connecté au même réseau wifi que vous parvienne à lire les données qui transitent. Que ce soit le contenu de vos échanges ou vos identifiants de connexion, il n'est pas souhaitable que les données interceptées soient déchiffrables par un tiers. Pour cela, le protocole SSL a été inventé. Il est désormais remplacé par son successeur le TLS, mais continue d'être appelé "SSL". Pour éviter la confusion, on emploie donc l'appellation "SSL/TLS". Ce protocole nécessite l'utilisation d'un certificat signé par une autorité comme Let's Encrypt.

Pour utiliser SSL/TLS, il faut :

  • Pour une connexion à un site ou un webmail, s'assurer d'avoir généré un certificat (possible gratuitement avec Let's Encrypt via votre Panneau de contrôle Plesk) et s'assurer d'accéder au site avec https://
  • Pour une connexion FTP, il faut s'assurer d'utiliser FTPS (port 2121 sur les serveurs mutualisés HaiSoft)
  • Pour une connexion POP/IMAP/SMTP, il faut s'assurer d'activer SSL/TLS dans votre logiciel de messagerie et d'utiliser les ports correspondants, et d'utiliser le nom d'hôte de votre serveur pour la connexion. Voir: E-mail

Pour plus d'informations, voir Chiffrement TLS

Sécuriser son site web

Découvrez 7 erreurs de sécurité à éviter : https://blog.haisoft.fr/web/7-erreurs-capitales-securite-webmastering/

Pour minimiser les risques de piratage sur un site, il convient :

  • De tenir son CMS (Wordpres/Joomla/etc.) à jour le plus fréquemment possible.
  • De mettre à jour tous les plugins et thèmes et de s'assurer de ne pas utiliser d'abandonwares.
  • D'installer des addons provenant de sources sûres uniquement.
  • D'utiliser une version de PHP (réglable dans Plesk) en accord avec les mises à jour faites de votre CMS et la plus récente possible.
  • Optionnellement, d'installer un plugin de sécurité comme Wordfence pour Wordpress.
  • Dans le cas de WordPress, s'aider du WordPress Toolkit intégré à Plesk pour activer les mises à jour automatiques et appliquer des améliorations de sécurité supplémentaires.
  • De vérifier dans votre base de données via PHPMyAdmin (disponible via Plesk) qu'il n'y a pas d'utilisateur administrateur inconnu.
  • De s'assurer d'avoir des mots de passe FTP/MySQL/Admin assez complexes pour ne pas être devinés par des robots.
  • De s'assurer d'avoir des permissions standard ou plus restrictives sur ses fichiers, mais pas de "chmod 777".
  • Si possible, de masquer la version du CMS utilisée
  • Eviter la présence de contenu PHP obsolète sur l'hébergement : Par exemple, le dossier dossier "old" contenant votre ancien site ne devrait en aucun cas être accessible en ligne, il s'agit là d'une énorme faille de sécurité car vous n'allez jamais mettre à jour ce contenu. De plus, il consomme de la place sur votre formule. Archivez-le sur votre PC ou placez-le dans un dossier parent à "httpdocs", mais ne le laissez en aucun cas accessible en ligne.

Protéger son site avec SiteLock

HaiSoft est en partenariat avec SiteLock afin de vous offrir un outil supplémentaire pour protéger vos sites sensibles.

SiteLock permet notamment:

  • De vous avertir des failles de sécurité sur votre site, afin de pouvoir agir de manière proactive sur la sécurité de votre site
  • De vous alerter si des fichiers changent dans votre site et donc s'il y a des intrusions
  • De restaurer les fichiers modifiés

Ce service n'est efficace que couplé à une réactivité du webmaster face aux failles de sécurité du site.

N'hésitez pas à vous renseigner auprès du service commercial HaiSoft.

Piratage

De nombreuses erreurs ou négligences peuvent entrainer un piratage de l'un de vos services. Néanmoins, il est possible de se prémunir contre la très vaste majorité des piratages en prenant quelques précautions souvent très simples. Votre niveau de sécurité effectif est celui du maillon le plus faible de votre système, c'est pourquoi il est important de comprendre les différentes sources possibles de piratage afin d'avoir en permanence les bons réflexes vous permettant de les éviter. En outre, il est élémentaire d'effectuer des backups (sauvegardes) de ses données, dans le cas où la précaution ne suffirait pas.

Piratages de sites web

Causes de piratages de sites

Un site est généralement piraté par l'une des manières suivantes (du plus au moins fréquent) :

  • Faille de sécurité dans le code PHP (CMS obsolète, code trop permissif) permettant une injection MySQL ou un envoi de fichiers sur votre site, donnant ainsi au pirate le total contrôle de votre site.
  • Utilisation d'une version ancienne de PHP
  • Mot de passe backoffice (admin) trop simple
  • Mot de passe FTP ou MySQL trop simple

Réparer un piratage

Restauration de backup

Suite à un piratage, la solution privilégiée est de restaurer un backup sain de votre site, c'est à dire datant d'avant la première trace de piratage de votre site, puis de procéder à la sécurisation de votre site.

  • Si vous avez un backup complet (fichiers + bases de données), restaurez-les en intégralité puis sécurisez votre site.
  • Clients mutualisés, HaiSoft conserve des backups de ses serveurs durant environ 6 mois. Cette restauration est payante.
  • Clients dédiés ou semi dédiés, la présence d'un backup et sa durée de rétention dépend de l'espace de backup souscri et du réglage de rétention choisi.

Réparation par HaiSoft

Si aucun backup sain de votre site n'est disponible, HaiSoft peut :

  • Dans le cas d'un WordPress, proposer une maintenance de nettoyage, réinstallation originaux de WordPress, mise à jour et sécurisation la plus complète possible. Contactez-nous pour en savoir plus.

Réinstallation

Dans certains cas, la réinstallation d'un nouveau site vierge est la meilleure option. HaiSoft peut se charger d'installer WordPress pour vous. Nous proposons également des formules de mises à jour, qui incluent de nombreux services tels que : La mise en place des mises à jour automatiques, le backup automatique quotidien, l'engagement anti-hack (si votre site était piraté malgré toutes les bonnes précautions, nous utilisons notre méthode de réparation manuelle sans frais), la configuration de l'envoi de mails depuis le site (SMTP), le conseil personnalisé, et bien plus encore.

Réparation manuelle

Si aucun backup sain de votre site n'est disponible, voici la procédure à appliquer pour tenter de réparer votre site. L'opération dure environ entre 1 et 4h pour un utilisateur expérimenté en fonction des difficultés rencontrées. HaiSoft peut réaliser la procédure pour vous sur les sites WordPress (contactez nos services pour connaître le tarif).

Pré-requis

Cette procédure nécessite les compétences suivantes :

  • Avoir accès au Panneau de contrôle Plesk
  • Maîtriser l'accès FTP
  • Comprendre le fonctionnement de son CMS et être capable de retrouver les fichiers PHP originaux de son site
  • Comprendre la structure de la base de données de son CMS et être capable d'y retrouver des anomalies (utilisateurs indésirables par exemple)
Préparation
  • Connectez-vous à votre Panneau de contrôle Plesk
  • Changez votre mot de passe FTP et connectez-vous en FTP
  • Effectuez un backup (sauvegarde) de l'ensemble fichiers de votre site en FTP ainsi que de sa base de données via Plesk (exporter un dump) à conserver précieusement de votre côté (sur votre ordinateur, disque dur externe, NAS, cloud)
Nettoyage
  • Si le plugin ImunifyAV est disponible, consultez la liste des fichiers infectés et vérifiez/supprimez au moins ces fichiers-ci ainsi que leurs voisins.
  • Dans l'idéal, il faut supprimer tout fichier PHP présent sur le serveur (pour WordPress, conservez uniquement wp-content/uploads sur le serveur)
  • Réinstaller les fichiers originaux de votre CMS. Les plugins et thèmes sains téléchargeables sur le site de l'éditeur (par exemple wordpress.org).
  • Vérifier les utilisateurs présents dans votre base de données via PHPMyAdmin et supprimer les utilisateurs inconnus (pour WordPress, vérifiez la table portant un nom se terminant par _users)
Sécurisation et réactivation
  • Modifier votre mot de passe de DB MySQL
  • Définir la version de PHP la plus récente compatible avec votre site (La dernière disponible sur le serveur pour WordPress)
  • Nous demander la réactivation du site si ce dernier était désactivé sur serveur mutualisé
  • Visiter votre site, renseigner les informations de la DB pour qu'il détecte votre installation
  • Faire détecter votre installation de WordPress dans Plesk et activer les améliorations de sécurité
  • Changer votre mot de passe admin backoffice
  • Installer le plugin WordFence, lancer un scan avancé, et suivre ses recommandations

Après un piratage

Après un piratage, il convient au minimum :

  • De changer les mots de passe FTP, MySQL, et Back Office
  • De vérifier l'intégrité de son site (fichiers, bases de données, utilisateurs...)
  • De faire toutes les mises à jour de son site et de sa version de PHP
  • Appliquer les différentes mesures de prévention préconisées sur cette page et ailleurs
  • De faire une sauvegarde de son site en état optimal