Sommaire
Les deux grands principes de la sécurité informatique
Deux grands principes aussi incontournables que dogmatiques sont à retenir selon LRob :
Robin LABADIE
- La sécurité finale d’un système est celle du maillon le plus faible de sa chaîne.
- La sécurité à 100% est illusoire (et quiconque prétend le contraire est un menteur ou un ignorant).
A noter que les utilisateurs et administrateurs font partie de la chaîne de sécurité.
C’est pourquoi il ne faut négliger aucun aspect de la sécurité, aucun maillon de la chaîne informatique, car même en faisant de notre mieux, on peut laisser passer des éléments et on n’est jamais à l’abri d’une faille « 0 day », c’est à dire une faille exploitée avant d’être corrigée.
Sécurités LRob
Les serveurs LRob comportent de nombreux niveaux de sécurité visant à bloquer les attaques au plus haut de la chaîne serveur. Nous tentons d’être irréprochables sur tous les aspects afin de s’approcher tant que possible d’une sécurité à 100%. Retenez que la sécurité parfaite n’existe jamais, mais on peut tenter de s’en approcher. Les sécurités LRob sont rigoureuses et certaines sont inédites dans le monde des hébergeurs, pour vous assurer le plus haut niveau de sécurité possible.
Sécurité par défaut
Sécurité serveur ultime « out of the box » !
Pare-feu applicatif ModSecurity
Bloque efficacement les requêtes malveillantes avant qu’elles n’atteignent vos sites. En cas de récidive, fail2ban se charge de bloquer totalement l’IP attaquante pour plus de sécurité.
Anti-bruteforce Fail2ban
Bloque totalement les accès non autorisés répétés sur tous les services du serveur. Blocage IP des tentatives de brute-force WordPress, Plesk, Email, FTP. Blocage également des robots en recherche de vulnérabilités sur les serveurs.
Isolation des sites
Chaque site est isolé dans son utilisateur système par défaut. En cas de souci sur un site, cela ne peut pas affecter les autres.
Antivirus serveur
ImunifyAV scanne régulièrement les sites.
Mise à jour de PHP
Si vous oubliez, on s’en charge pour vous !
Mises à jour quotidiennes des serveurs
Des failles dans l’applicatif serveur peuvent aussi exister (même si les hébergeurs le nient en bloc). La mise à jour quotidienne permet de garder votre hébergement le plus à l’abri possible des failles de sécurité.
Sauvegardes hébergeur quotidiennes
Sauvegardes externalisées avec une rétention d’un an pour une tranquillité d’esprit maximale.
Certificats SSL/TLS inclus
Génération de certificat TLS automatique & HTTPS forcé par défaut. Certificats Wildcards gratuits disponibles gratuitement si vous gérez les zones DNS de vos sites via LRob.
Chiffrement fort
Utilisation exclusive de ciphers TLS sécurisés.
Sécurité pour WordPress
La sécurisation de WordPress rendue facile !
Contrôle en un regard
Votre panel d’hébergement met en évidence toute anomalie dans vos instances WordPress.
Mises à jour automatiques de WordPress
Activable en quelques clics pour s’assurer d’une sécurité maximale en permanence.
Protection Login WordPress
Blocage IP des attaques brute-force sur votre login WordPress.
Antivirus serveur
ImunifyAV scanne régulièrement les sites pour vérifier qu’aucun fichier malveillant n’est connu. En cas d’anomalie, vous recevez un email.
Détection des failles de sécurité WordPress
Vérifiez manuellement les vulnérabilités et recevez des alertes en cas de nouvelle vulnérabilité détectée, pour réagir rapidement.
Voir les 24 règles de sécurité pour WordPress
- Modifier le nom d’utilisateur de l’administrateur par défaut (admin)
- Bloquer l’accès à .htaccess et .htpasswd
- Bloquer l’accès aux fichiers potentiellement sensibles (logs, scripts, exécutables)
- Bloquer l’accès aux fichiers contenant des identifiants
- Bloquer les robots en recherche de failles spécifiques à WordPress
- Modifier le préfixe de table de base de données par défaut
- Désactiver l’édition de fichier dans le tableau de bord WordPress
- Désactiver l’exécution PHP dans les répertoires cache
- Désactiver les langages de scripts non utilisés (Python, Perl, etc.)
- Désactiver les pingbacks
- Désactiver la concaténation des scripts sur le panneau admin WordPress
- Bloquer l’accès au fichier wp-config.php
- Interdire l’exécution de scripts PHP dans le répertoire wp-content/uploads
- Interdire l’exécution de scripts PHP dans le répertoire wp-includes
- Bloquer la navigation dans les répertoires (-indexes)
- Bloquer l’accès au fichier xmlrpc.php
- Configurer les clés de sécurité
- Restreindre l’accès aux fichiers et répertoires (permissions)
- Bloquer les author scans
- Activer les mises à jour automatiques
- Générer un mot de passe sécurisé
- Détecter automatiquement les failles de sécurité
- Scanner le site en recherche de fichiers malveillants
- Définir une version de PHP avec support sécurisé
Failles de sécurité
Failles serveur
Les failles de sécurité pouvant avoir lieu côté serveur sont gérées par l’hébergeur LRob.
LRob utilise des serveurs Linux (Debian) qui est une version très fiable, stable et sécurisée, idéale pour un système de serveurs web en production. Les failles de sécurité sous Linux sont généralement corrigées très rapidement, avant même qu’elles ne soient révélées publiquement.
Nous avons également mis en place plusieurs mesures pour éviter les failles serveur, notamment une veille active des failles des systèmes Linux avec une mise à jour manuelle immédiate en cas de faille. Mais aussi une mise à jour quotidienne automatique de l’ensemble de l’applicatif serveur, avec une vérification manuelle mensuelle chaque premier lundi du mois.
Failles CMS
Un site web interactif et dynamique, comme ceux construits avec des CMS, est exposé aux failles de sécurité. C’est pourquoi il est essentiel de contrôler et sécuriser les interactions entre l’utilisateur et votre site.
Les CMS comme WordPress sont régulièrement sujets à des failles de sécurité. LRob fournit de nombreuses sécurités additionnelles côté serveur et des outils pour vous aider à rester sécurisé. Néanmoins, devant une faille de sécurité, votre site peut rester vulnérable. Il est donc important de :
- Maintenir votre CMS et ses plugins à jour (activez les mises à jour automatiques).
- Utiliser des mots de passe forts et uniques.
- Surveiller les utilisateurs et fichiers du site pour éviter les intrusions.
- Utiliser les outils de Plesk pour vérifier les éventuelles failles présentes et les corriger (par la mise à jour, désactivation ou remplacement des scripts).
- Utiliser les outils de Plesk pour ajouter des règles de sécurité additionnelles à WordPress
Des outils comme le WordPress Toolkit de Plesk vous aident à conserver vos applicatifs WordPress et autres plus sécurisés que sur la plupart des hébergements. Néanmoins vous ne pouvez pas reposer uniquement sur ces sécurités additionnelles : Si votre application est intrinsèquement insécurisée, alors elle pourrait être piratée.
Notez que l’applicatif PHP qui exécute votre applicatif final (CMS) peut également contenir des failles de sécurité lorsque vous en utilisez une version obsolète qui ne reçoit plus de support de sécurité. Il est conseillé de vérifier votre version de PHP 1x par an. Les failles provenant de versions de PHP obsolètes sont évitées tant que possible par LRob en poussant une fois par an les nouvelles versions de PHP utilisées sur les sites web (et en avertissant les éventuels propriétaires d’hébergements en cas d’incompatibilité de leur site avec les nouvelles versions de PHP).
Si vous soupçonnez un piratage ou un changement inattendu sur votre site, contactez votre support qui saura vous guider et aider efficacement.
Pages liées :