Sécurité : Différence entre versions

De
Sauter à la navigation Sauter à la recherche
(Piratage improved)
(Nettoyage Nettoyage)
Ligne 101 : Ligne 101 :
 
<h5>Nettoyage</h5>
 
<h5>Nettoyage</h5>
 
* Supprimer tout fichier PHP présent sur le serveur (conservez uniquement wp-content/uploads sur le serveur)
 
* Supprimer tout fichier PHP présent sur le serveur (conservez uniquement wp-content/uploads sur le serveur)
<h5>Nettoyage</h5>
 
 
* Réinstaller les fichiers WordPress, plugins et thèmes sains téléchargeables sur le site de l'éditeur (par exemple wordpress.org)
 
* Réinstaller les fichiers WordPress, plugins et thèmes sains téléchargeables sur le site de l'éditeur (par exemple wordpress.org)
 
* Vérifier les utilisateurs WordPress via PHPMyAdmin et supprimer les utilisateurs inconnus
 
* Vérifier les utilisateurs WordPress via PHPMyAdmin et supprimer les utilisateurs inconnus

Version du 13 novembre 2018 à 13:20

Prévention

Lorsque l'on parle de sécurité, il ne faut négliger aucun aspect. Votre sécurité finale sera celle du maillon le plus faible de votre chaîne.

Si HaiSoft use de nombreux systèmes de protection (firewalls réseau et applicatifs, anti-bruteforce, etc.), soyez bien conscients qu'internet est une jungle où grouillent d'innombrables pirates et robots pirates qui attaqueront votre site et vos adresses email quoi qu'il arrive, qui que vous soyez, et dès lors qu'ils existent. Malgré nos protections, un piratage reste possible lorsque le propriétaire d'un domaine fait preuve de négligence : Absence de mises à jour, mots de passe trop simple, et votre site se retrouve piraté, et votre boîte mail se retrouve en libre accès et envoie du spam...

Afin d'éviter cela, de nombreuses bonnes pratiques simples mais essentielles vous permettent d'assurer une utilisation de vos services en toute sécurité.

Choisir de bons mots de passe

Vos mots de passe protègent l'accès à vos services. Que ce soit un accès FTP, à votre espace client, à Plesk, à votre boîte mail, vous souhaitez être la seule personne à accéder à vos services. De nombreux robots et utilisateurs malveillants parcourent le web à la recherche de mots de passe simples afin de profiter de vos accès, pour de l'envoi de spams, de la diffusion publicitaire, ou de la simple malfaisance. C'est pourquoi, il est primmordial de choisir des mots de passe sécurisés, que l'on appelle couramment de "bons mots de passe".

Un bon mot de passe doit:

  • Faire au minimum 8 caractères
  • Contenir minuscules, majuscules, chiffres et signes
  • Être unique

Un mot de passe ne doit pas:

  • Contenir des mots existants dans le dictionnaire
  • Contenir un quelconque mot en rapport avec le compte pour lequel il est utilisé
  • Contenir une suite facile (azerty, 123, 2017, etc)

Utiliser SSL/TLS

Lors de votre utilisation d'un service en ligne quel qu'il soit, vous échangez des données avec le serveur. Nous pouvons imaginer qu'un individu présent sur le réseau entre vous et le serveur, ou connecté au même réseau wifi que vous parvienne à lire les données qui transitent. Que ce soit le contenu de vos échanges ou vos identifiants de connexion, il n'est pas souhaitable que les données interceptées soient déchiffrables par un tiers. Pour cela, le protocole SSL a été inventé. Il est désormais remplacé par son successeur le TLS, mais continue d'être appelé "SSL". Pour éviter la confusion, on emploie donc l'appellation "SSL/TLS". Ce protocole nécessite l'utilisation d'un certificat signé par une autorité comme Let's Encrypt.

Pour utiliser SSL/TLS, il faut :

  • Pour une connexion à un site ou un webmail, s'assurer d'avoir généré un certificat (possible gratuitement avec Let's Encrypt via votre Panneau de contrôle Plesk) et s'assurer d'accéder au site avec https://
  • Pour une connexion FTP, il faut s'assurer d'utiliser FTPS (port 2121 sur les serveurs mutualisés HaiSoft)
  • Pour une connexion POP/IMAP/SMTP, il faut s'assurer d'activer SSL/TLS dans votre logiciel de messagerie et d'utiliser les ports correspondants, et d'utiliser le nom d'hôte de votre serveur pour la connexion. Voir: E-mail

Pour plus d'informations, voir Chiffrement TLS

Sécuriser son site web

Découvrez 7 erreurs de sécurité à éviter : https://blog.haisoft.fr/web/7-erreurs-capitales-securite-webmastering/

Pour minimiser les risques de piratage sur un site, il convient :

  • De tenir son CMS (Wordpres/Joomla/etc.) à jour le plus fréquemment possible.
  • De mettre à jour tous les plugins et thèmes et de s'assurer de ne pas utiliser d'abandonwares.
  • D'installer des addons provenant de sources sûres uniquement.
  • D'utiliser une version de PHP (réglable dans Plesk) en accord avec les mises à jour faites de votre CMS et la plus récente possible.
  • Optionnellement, d'installer un plugin de sécurité comme Wordfence pour Wordpress.
  • Dans le cas de WordPress, s'aider du WordPress Toolkit intégré à Plesk pour activer les mises à jour automatiques et appliquer des améliorations de sécurité supplémentaires.
  • De vérifier dans votre base de données via PHPMyAdmin (disponible via Plesk) qu'il n'y a pas d'utilisateur administrateur inconnu.
  • De s'assurer d'avoir des mots de passe FTP/MySQL/Admin assez complexes pour ne pas être devinés par des robots.
  • De s'assurer d'avoir des permissions standard ou plus restrictives sur ses fichiers, mais pas de "chmod 777".
  • Si possible, de masquer la version du CMS utilisée

Protéger son site avec SiteLock

HaiSoft est en partenariat avec SiteLock afin de vous offrir un outil supplémentaire pour protéger vos sites sensibles.

SiteLock permet notamment:

  • De vous avertir des failles de sécurité sur votre site, afin de pouvoir agir de manière proactive sur la sécurité de votre site
  • De vous alerter si des fichiers changent dans votre site et donc s'il y a des intrusions
  • De restaurer les fichiers modifiés

Ce service n'est efficace que couplé à une réactivité du webmaster face aux failles de sécurité du site.

N'hésitez pas à vous renseigner auprès du service commercial HaiSoft.

Piratage

De nombreuses erreurs ou négligences peuvent entrainer un piratage de l'un de vos services. Néanmoins, il est possible de se prémunir contre la très vaste majorité des piratages en prenant quelques précautions souvent très simples. Votre niveau de sécurité effectif est celui du maillon le plus faible de votre système, c'est pourquoi il est important de comprendre les différentes sources possibles de piratage afin d'avoir en permanence les bons réflexes vous permettant de les éviter. En outre, il est élémentaire d'effectuer des backups (sauvegardes) de ses données, dans le cas où la précaution ne suffirait pas.

Piratages de sites web

Causes de piratages de sites

Un site est généralement piraté par l'une des manières suivantes (du plus au moins fréquent) :

  • Faille de sécurité dans le code PHP (CMS obsolète, code trop permissif) permettant une injection MySQL ou un envoi de fichiers sur votre site, donnant ainsi au pirate le total contrôle de votre site.
  • Utilisation d'une version ancienne de PHP
  • Mot de passe backoffice (admin) trop simple
  • Mot de passe FTP ou MySQL trop simple

Réparer un piratage

Restauration de backup

Suite à un piratage, la solution privilégiée est de restaurer un backup sain de votre site, c'est à dire datant d'avant la première trace de piratage de votre site, puis de procéder à la sécurisation de votre site.

  • Si vous avez un backup complet (fichiers + bases de données), restaurez-les en intégralité puis sécurisez votre site.
  • Clients mutualisés, HaiSoft conserve des backups de ses serveurs durant environ 6 mois. Cette restauration est payante.
  • Clients dédiés ou semi dédiés, la présence d'un backup et sa durée de rétention dépend de l'espace de backup souscri et du réglage de rétention choisi.

Réparation manuelle

Si aucun backup sain de votre site n'est disponible, voici la procédure à appliquer pour tenter de réparer votre site. L'opération dure environ entre 1 et 4h pour un utilisateur expérimenté en fonction des difficultés rencontrées.

Pré-requis

Cette procédure nécessite les compétences suivantes :

  • Avoir accès au Panneau de contrôle Plesk
  • Maîtriser l'accès FTP
  • Comprendre le fonctionnement de son CMS et être capable de retrouver les fichiers PHP originaux de son site
  • Comprendre la structure de la base de données de son CMS et être capable d'y retrouver des anomalies (utilisateurs indésirables par exemple)
Préparation
  • Connectez-vous à votre Panneau de contrôle Plesk
  • Changez votre mot de passe FTP et connectez-vous en FTP
  • Effectuez un backup (sauvegarde) de l'ensemble fichiers de votre site en FTP ainsi que de sa base de données via Plesk (exporter un dump) à conserver précieusement de votre côté (sur votre ordinateur, disque dur externe, NAS, cloud)
Nettoyage
  • Supprimer tout fichier PHP présent sur le serveur (conservez uniquement wp-content/uploads sur le serveur)
  • Réinstaller les fichiers WordPress, plugins et thèmes sains téléchargeables sur le site de l'éditeur (par exemple wordpress.org)
  • Vérifier les utilisateurs WordPress via PHPMyAdmin et supprimer les utilisateurs inconnus
Sécurisation et réactivation
  • Modifier votre mot de passe de DB MySQL
  • Définir la version de PHP la plus récente compatible avec votre site (PHP 7.2 pour WordPress)
  • Nous demander la réactivation du site
  • Visiter votre site, renseigner les informations de la DB pour qu'il détecte votre installation
  • Faire détecter votre installation de WordPress dans Plesk et activer les améliorations de sécurité
  • Changer votre mot de passe admin backoffice
  • Installer le plugin WordFence, lancer un scan avancé, et suivre ses recommandations

Après un piratage

Après un piratage, il convient au minimum :

  • De changer les mots de passe FTP, MySQL, et Back Office
  • De vérifier l'intégrité de son site (fichiers, bases de données, utilisateurs...)
  • De faire toutes les mises à jour de son site et de sa version de PHP
  • Appliquer les différentes mesures de prévention préconisées sur cette page et ailleurs
  • De faire une sauvegarde de son site en état optimal