Sécurité

De
Révision datée du 4 avril 2018 à 15:56 par Root xo1zfe7e (discussion | contributions) (Page créée avec « <h1>Se protéger</h1> De nombreuses bonnes pratiques simples à mettre en oeuvre vous permettent d'assurer une utilisation de vos services en toute sécurité. <h2>Choisi... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Sauter à la navigation Sauter à la recherche

Se protéger

De nombreuses bonnes pratiques simples à mettre en oeuvre vous permettent d'assurer une utilisation de vos services en toute sécurité.

Choisir un bon mot de passe

Votre mot de passe protège l'accès à vos services. Que ce soit un accès FTP, à votre espace client, à Plesk, à votre boîte mail, vous souhaitez être la seule personne à accéder à vos services. De nombreux robots et utilisateurs malveillants parcourent le web à la recherche de mots de passe simples afin de profiter de vos accès, pour de l'envoi de spams, de la diffusion publicitaire, ou de la simple malfaisance. C'est pourquoi, il est primmordial de choisir des mots de passe sécurisés, que l'on appelle couramment de "bons mots de passe".

Un bon mot de passe doit:

  • Faire au minimum 8 caractères
  • Contenir minuscules, majuscules, chiffres et signes
  • Être unique

Un mot de passe ne doit pas:

  • Contenir des mots existants dans le dictionnaire
  • Contenir un quelconque mot en rapport avec le compte pour lequel il est utilisé
  • Contenir une suite facile (azerty, 123, 2017, etc)

Utiliser SSL/TLS

Lors de votre utilisation d'un service en ligne quel qu'il soit, vous échangez des données avec le serveur. Nous pouvons imaginer qu'un individu présent sur le réseau entre vous et le serveur, ou connecté au même réseau wifi que vous parvienne à lire les données qui transitent. Que ce soit le contenu de vos échanges ou vos identifiants de connexion, il est souhaitable que les données interceptées soient déchiffrables. Pour cela, le protocole SSL a été inventé. Il est désormais remplacé par son successeur le TLS, mais continue d'être appelé "SSL". Pour éviter la confusion, l'on emploie donc l'appellation "SSL/TLS".

Pour utiliser SSL/TLS, il faut :

  • Pour une connexion à un site ou un webmail, s'assurer d'avoir généré un certificat (possible gratuitement avec Let's Encrypt) et s'assurer d'accéder au site avec https://
  • Pour une connexion FTP, il faut s'assurer d'utiliser FTPS (pour 2121 sur les serveurs mutualisés HaiSoft)
  • Pour une connexion POP/IMAP/SMTP, il faut s'assurer d'activer SSL/TLS dans votre logiciel de messagerie et d'utiliser les ports correspondants, et utiliser le nom d'hôte de votre serveur pour la connexion. Voir: E-mail

Sécuriser son site web

Pour minimiser les risques de piratage sur un site, il convient

  • De tenir son CMS (Wordpres/Joomla/etc.) à jour le plus fréquemment possible.
  • De mettre à jour tous les plugins et thèmes et de s'assurer de ne pas utiliser d'abandonwares.
  • D'installer des addons provenant de sources sûres uniquement.
  • D'utiliser une version de PHP (réglable dans Plesk) en accord avec les mises à jour faites de votre CMS et la plus récente possible.
  • Optionnellement, d'installer un plugin de sécurité comme Wordfence pour Wordpress.
  • De vérifier dans votre base de données via PHPMyAdmin (disponible via Plesk) qu'il n'y a pas d'utilisateur administrateur inconnu.
  • De s'assurer d'avoir des mots de passe FTP/MySQL/Admin assez complexes pour ne pas être devinés par des robots.
  • De s'assurer d'avoir des permissions standard ou plus restrictives sur ses fichiers, mais pas de "chmod 7777".
  • Si possible, de masquer la version du CMS utilisée

Piratage

De nombreuses erreurs ou négligences peuvent entrainer un piratage de votre service. Néanmoins, il est possible de se prémunir contre la très vaste majorité des piratages en prenant quelques précautions souvent très simples. Votre niveau de sécurité effectif est celui du maillon le plus faible de votre système, c'est pourquoi il est important de comprendre les différentes sources des piratages possibles afin d'avoir en permanence les bons réflexes vous permettant de les éviter. En outre, il est élémentaire d'effectuer des backups de ses données, dans le cas où la précaution ne suffirait pas.

Piratages de sites

Un site est généralement piraté par l'une des manières suivantes (du plus au moins fréquent) :

  • Faille de sécurité dans le code PHP (CMS obsolète ou code trop permissif)
  • Utilisation d'une version ancienne de PHP
  • Mot de passe backoffice (admin) trop simple
  • Mot de passe FTP ou MySQL trop simple

Les trois priorités pour éviter cela sont :

  • De tenir son site et tous ses modules à jour s'il s'agit d'un CMS
  • D'utiliser une version de PHP récente (PHP 5.6 ou supérieur)
  • De vous assurer d'utiliser des mots de passe complexes