Sécurité : Différence entre versions

De
Sauter à la navigation Sauter à la recherche
(Added wordpress info)
(Sum up edit)
Ligne 1 : Ligne 1 :
 
<h1>Se protéger</h1>
 
<h1>Se protéger</h1>
De nombreuses bonnes pratiques simples à mettre en oeuvre vous permettent d'assurer une utilisation de vos services en toute sécurité.
+
Lorsque l'on parle de sécurité, il ne faut négliger aucun aspect. Votre sécurité finale sera celle du maillon le plus faible de votre chaîne.
  
<h2>Choisir un bon mot de passe</h2>
+
Si HaiSoft use de nombreux systèmes de protection (firewalls réseau et applicatifs, anti-bruteforce, etc.), soyez bien conscients qu'internet est une jungle où grouillent d'innombrables pirates et robots pirates qui attaqueront votre site et vos adresses email quoi qu'il arrive, qui que vous soyez, et dès lors qu'ils existent. Malgré nos protections, un piratage reste possible lorsque le propriétaire d'un domaine fait preuve de négligence : Absence de mises à jour, mots de passe trop simple, et votre site se retrouve piraté, et votre boîte mail se retrouve en libre accès et envoie du spam...
  
Votre mot de passe protège l'accès à vos services. Que ce soit un accès FTP, à votre espace client, à Plesk, à votre boîte mail, vous souhaitez être la seule personne à accéder à vos services. De nombreux robots et utilisateurs malveillants parcourent le web à la recherche de mots de passe simples afin de profiter de vos accès, pour de l'envoi de spams, de la diffusion publicitaire, ou de la simple malfaisance. C'est pourquoi, il est primmordial de choisir des mots de passe sécurisés, que l'on appelle couramment de "bons mots de passe".
+
Afin d'éviter cela, de nombreuses bonnes pratiques simples mais essentielles vous permettent d'assurer une utilisation de vos services en toute sécurité.
 +
 
 +
<h2>Choisir de bons mots de passe</h2>
 +
 
 +
Vos mots de passe protègent l'accès à vos services. Que ce soit un accès FTP, à votre espace client, à Plesk, à votre boîte mail, vous souhaitez être la seule personne à accéder à vos services. De nombreux robots et utilisateurs malveillants parcourent le web à la recherche de mots de passe simples afin de profiter de vos accès, pour de l'envoi de spams, de la diffusion publicitaire, ou de la simple malfaisance. C'est pourquoi, il est primmordial de choisir des mots de passe sécurisés, que l'on appelle couramment de "bons mots de passe".
  
 
'''Un bon mot de passe doit:'''
 
'''Un bon mot de passe doit:'''

Version du 11 juin 2018 à 17:03

Se protéger

Lorsque l'on parle de sécurité, il ne faut négliger aucun aspect. Votre sécurité finale sera celle du maillon le plus faible de votre chaîne.

Si HaiSoft use de nombreux systèmes de protection (firewalls réseau et applicatifs, anti-bruteforce, etc.), soyez bien conscients qu'internet est une jungle où grouillent d'innombrables pirates et robots pirates qui attaqueront votre site et vos adresses email quoi qu'il arrive, qui que vous soyez, et dès lors qu'ils existent. Malgré nos protections, un piratage reste possible lorsque le propriétaire d'un domaine fait preuve de négligence : Absence de mises à jour, mots de passe trop simple, et votre site se retrouve piraté, et votre boîte mail se retrouve en libre accès et envoie du spam...

Afin d'éviter cela, de nombreuses bonnes pratiques simples mais essentielles vous permettent d'assurer une utilisation de vos services en toute sécurité.

Choisir de bons mots de passe

Vos mots de passe protègent l'accès à vos services. Que ce soit un accès FTP, à votre espace client, à Plesk, à votre boîte mail, vous souhaitez être la seule personne à accéder à vos services. De nombreux robots et utilisateurs malveillants parcourent le web à la recherche de mots de passe simples afin de profiter de vos accès, pour de l'envoi de spams, de la diffusion publicitaire, ou de la simple malfaisance. C'est pourquoi, il est primmordial de choisir des mots de passe sécurisés, que l'on appelle couramment de "bons mots de passe".

Un bon mot de passe doit:

  • Faire au minimum 8 caractères
  • Contenir minuscules, majuscules, chiffres et signes
  • Être unique

Un mot de passe ne doit pas:

  • Contenir des mots existants dans le dictionnaire
  • Contenir un quelconque mot en rapport avec le compte pour lequel il est utilisé
  • Contenir une suite facile (azerty, 123, 2017, etc)

Utiliser SSL/TLS

Lors de votre utilisation d'un service en ligne quel qu'il soit, vous échangez des données avec le serveur. Nous pouvons imaginer qu'un individu présent sur le réseau entre vous et le serveur, ou connecté au même réseau wifi que vous parvienne à lire les données qui transitent. Que ce soit le contenu de vos échanges ou vos identifiants de connexion, il n'est pas souhaitable que les données interceptées soient déchiffrables par un tiers. Pour cela, le protocole SSL a été inventé. Il est désormais remplacé par son successeur le TLS, mais continue d'être appelé "SSL". Pour éviter la confusion, on emploie donc l'appellation "SSL/TLS". Ce protocole nécessite l'utilisation d'un certificat signé par une autorité comme Let's Encrypt.

Pour utiliser SSL/TLS, il faut :

  • Pour une connexion à un site ou un webmail, s'assurer d'avoir généré un certificat (possible gratuitement avec Let's Encrypt via votre Panneau de contrôle Plesk) et s'assurer d'accéder au site avec https://
  • Pour une connexion FTP, il faut s'assurer d'utiliser FTPS (port 2121 sur les serveurs mutualisés HaiSoft)
  • Pour une connexion POP/IMAP/SMTP, il faut s'assurer d'activer SSL/TLS dans votre logiciel de messagerie et d'utiliser les ports correspondants, et d'utiliser le nom d'hôte de votre serveur pour la connexion. Voir: E-mail

Sécuriser son site web

Pour minimiser les risques de piratage sur un site, il convient :

  • De tenir son CMS (Wordpres/Joomla/etc.) à jour le plus fréquemment possible.
  • De mettre à jour tous les plugins et thèmes et de s'assurer de ne pas utiliser d'abandonwares.
  • D'installer des addons provenant de sources sûres uniquement.
  • D'utiliser une version de PHP (réglable dans Plesk) en accord avec les mises à jour faites de votre CMS et la plus récente possible.
  • Optionnellement, d'installer un plugin de sécurité comme Wordfence pour Wordpress.
  • Dans le cas de WordPress, s'aider du WordPress Toolkit intégré à Plesk pour activer les mises à jour automatiques et appliquer des améliorations de sécurité supplémentaires.
  • De vérifier dans votre base de données via PHPMyAdmin (disponible via Plesk) qu'il n'y a pas d'utilisateur administrateur inconnu.
  • De s'assurer d'avoir des mots de passe FTP/MySQL/Admin assez complexes pour ne pas être devinés par des robots.
  • De s'assurer d'avoir des permissions standard ou plus restrictives sur ses fichiers, mais pas de "chmod 777".
  • Si possible, de masquer la version du CMS utilisée

Piratage

De nombreuses erreurs ou négligences peuvent entrainer un piratage de votre service. Néanmoins, il est possible de se prémunir contre la très vaste majorité des piratages en prenant quelques précautions souvent très simples. Votre niveau de sécurité effectif est celui du maillon le plus faible de votre système, c'est pourquoi il est important de comprendre les différentes sources des piratages possibles afin d'avoir en permanence les bons réflexes vous permettant de les éviter. En outre, il est élémentaire d'effectuer des backups de ses données, dans le cas où la précaution ne suffirait pas.

Piratages de sites

Un site est généralement piraté par l'une des manières suivantes (du plus au moins fréquent) :

  • Faille de sécurité dans le code PHP (CMS obsolète ou code trop permissif)
  • Utilisation d'une version ancienne de PHP
  • Mot de passe backoffice (admin) trop simple
  • Mot de passe FTP ou MySQL trop simple

Les trois priorités pour éviter cela sont :

  • De tenir son site et tous ses modules à jour s'il s'agit d'un CMS
  • D'utiliser une version de PHP récente (PHP 5.6 ou supérieur)
  • De vous assurer d'utiliser des mots de passe complexes