Sécurité

De
Sauter à la navigation Sauter à la recherche

Se protéger

Lorsque l'on parle de sécurité, il ne faut négliger aucun aspect. Votre sécurité finale sera celle du maillon le plus faible de votre chaîne.

Si HaiSoft use de nombreux systèmes de protection (firewalls réseau et applicatifs, anti-bruteforce, etc.), soyez bien conscients qu'internet est une jungle où grouillent d'innombrables pirates et robots pirates qui attaqueront votre site et vos adresses email quoi qu'il arrive, qui que vous soyez, et dès lors qu'ils existent. Malgré nos protections, un piratage reste possible lorsque le propriétaire d'un domaine fait preuve de négligence : Absence de mises à jour, mots de passe trop simple, et votre site se retrouve piraté, et votre boîte mail se retrouve en libre accès et envoie du spam...

Afin d'éviter cela, de nombreuses bonnes pratiques simples mais essentielles vous permettent d'assurer une utilisation de vos services en toute sécurité.

Choisir de bons mots de passe

Vos mots de passe protègent l'accès à vos services. Que ce soit un accès FTP, à votre espace client, à Plesk, à votre boîte mail, vous souhaitez être la seule personne à accéder à vos services. De nombreux robots et utilisateurs malveillants parcourent le web à la recherche de mots de passe simples afin de profiter de vos accès, pour de l'envoi de spams, de la diffusion publicitaire, ou de la simple malfaisance. C'est pourquoi, il est primmordial de choisir des mots de passe sécurisés, que l'on appelle couramment de "bons mots de passe".

Un bon mot de passe doit:

  • Faire au minimum 8 caractères
  • Contenir minuscules, majuscules, chiffres et signes
  • Être unique

Un mot de passe ne doit pas:

  • Contenir des mots existants dans le dictionnaire
  • Contenir un quelconque mot en rapport avec le compte pour lequel il est utilisé
  • Contenir une suite facile (azerty, 123, 2017, etc)

Utiliser SSL/TLS

Lors de votre utilisation d'un service en ligne quel qu'il soit, vous échangez des données avec le serveur. Nous pouvons imaginer qu'un individu présent sur le réseau entre vous et le serveur, ou connecté au même réseau wifi que vous parvienne à lire les données qui transitent. Que ce soit le contenu de vos échanges ou vos identifiants de connexion, il n'est pas souhaitable que les données interceptées soient déchiffrables par un tiers. Pour cela, le protocole SSL a été inventé. Il est désormais remplacé par son successeur le TLS, mais continue d'être appelé "SSL". Pour éviter la confusion, on emploie donc l'appellation "SSL/TLS". Ce protocole nécessite l'utilisation d'un certificat signé par une autorité comme Let's Encrypt.

Pour utiliser SSL/TLS, il faut :

  • Pour une connexion à un site ou un webmail, s'assurer d'avoir généré un certificat (possible gratuitement avec Let's Encrypt via votre Panneau de contrôle Plesk) et s'assurer d'accéder au site avec https://
  • Pour une connexion FTP, il faut s'assurer d'utiliser FTPS (port 2121 sur les serveurs mutualisés HaiSoft)
  • Pour une connexion POP/IMAP/SMTP, il faut s'assurer d'activer SSL/TLS dans votre logiciel de messagerie et d'utiliser les ports correspondants, et d'utiliser le nom d'hôte de votre serveur pour la connexion. Voir: E-mail

Pour plus d'informations, voir Chiffrement TLS

Sécuriser son site web

Pour minimiser les risques de piratage sur un site, il convient :

  • De tenir son CMS (Wordpres/Joomla/etc.) à jour le plus fréquemment possible.
  • De mettre à jour tous les plugins et thèmes et de s'assurer de ne pas utiliser d'abandonwares.
  • D'installer des addons provenant de sources sûres uniquement.
  • D'utiliser une version de PHP (réglable dans Plesk) en accord avec les mises à jour faites de votre CMS et la plus récente possible.
  • Optionnellement, d'installer un plugin de sécurité comme Wordfence pour Wordpress.
  • Dans le cas de WordPress, s'aider du WordPress Toolkit intégré à Plesk pour activer les mises à jour automatiques et appliquer des améliorations de sécurité supplémentaires.
  • De vérifier dans votre base de données via PHPMyAdmin (disponible via Plesk) qu'il n'y a pas d'utilisateur administrateur inconnu.
  • De s'assurer d'avoir des mots de passe FTP/MySQL/Admin assez complexes pour ne pas être devinés par des robots.
  • De s'assurer d'avoir des permissions standard ou plus restrictives sur ses fichiers, mais pas de "chmod 777".
  • Si possible, de masquer la version du CMS utilisée

Protéger son site avec SiteLock

HaiSoft est en partenariat avec SiteLock afin de vous offrir un outil supplémentaire pour protéger vos sites sensibles.

SiteLock permet notamment:

  • De vous avertir des failles de sécurité sur votre site, afin de pouvoir agir de manière proactive sur la sécurité de votre site
  • De vous alerter si des fichiers changent dans votre site et donc s'il y a des intrusions
  • De restaurer les fichiers modifiés

Ce service n'est efficace que couplé à une réactivité du webmaster face aux failles de sécurité du site.

N'hésitez pas à vous renseigner auprès du service commercial HaiSoft.

Piratage

De nombreuses erreurs ou négligences peuvent entrainer un piratage de votre service. Néanmoins, il est possible de se prémunir contre la très vaste majorité des piratages en prenant quelques précautions souvent très simples. Votre niveau de sécurité effectif est celui du maillon le plus faible de votre système, c'est pourquoi il est important de comprendre les différentes sources des piratages possibles afin d'avoir en permanence les bons réflexes vous permettant de les éviter. En outre, il est élémentaire d'effectuer des backups de ses données, dans le cas où la précaution ne suffirait pas.

Piratages de sites

Un site est généralement piraté par l'une des manières suivantes (du plus au moins fréquent) :

  • Faille de sécurité dans le code PHP (CMS obsolète ou code trop permissif)
  • Utilisation d'une version ancienne de PHP
  • Mot de passe backoffice (admin) trop simple
  • Mot de passe FTP ou MySQL trop simple

Les trois priorités pour éviter cela sont :

  • De tenir son site et tous ses modules à jour s'il s'agit d'un CMS
  • D'utiliser une version de PHP récente (PHP 5.6 ou supérieur)
  • De vous assurer d'utiliser des mots de passe complexes

Site piraté : Que faire ?

Restauration de backup

  • Si vous avez un backup complet (fichiers + bases de données), restaurez-les en intégralité puis sécurisez votre site.
  • Si vous n'avez pas de backup, HaiSoft conserve des backups de ses serveurs. Sur serveur mutualisé, ils sont conservés environ 6 mois.

Après un piratage, il convient au minimum :

  • De changer les mots de passe FTP, MySQL, et Back Office
  • De vérifier l'intégrité de son site (fichiers, bases de données, utilisateurs...)
  • De faire toutes les mises à jour de son site et de sa version de PHP
  • De faire une sauvegarde de son site en état optimal

Réparation manuelle

Si aucun backup sain de votre site n'est disponible, voici la procédure classique :

  • Effectuer un backup (fichiers + DB) de votre site en l'état à conserver de votre côté
  • Supprimer tout fichier PHP présent sur le serveur (conservez uniquement wp-content/uploads sur le serveur)
  • Réinstaller des fichiers WordPress, plugins et thèmes sains téléchargeables sur le site de l'éditeur (par exemple wordpress.org)
  • Vérifier les utilisateurs WordPress via PHPMyAdmin et supprimer les utilisateurs inconnus
  • Modifier votre mot de passe de DB MySQL
  • Définir la version de PHP la plus récente compatible avec votre site (PHP 7.2 pour WordPress)
  • Nous demander la réactivation du site
  • Visiter votre site, renseigner les informations de la DB pour qu'il détecte votre installation
  • Faire détecter votre installation de WordPress dans Plesk et activer les améliorations de sécurité
  • Changer votre mot de passe admin backoffice
  • Installer le plugin WordFence, lancer un scan avancé, et suivre ses recommandations
Récupérée de « https://wiki.haisoft.fr/index.php?title=Sécurité&oldid=154 »