Sécurité et failles

Les deux grands principes de la sécurité informatique

Deux grands principes aussi incontournables que dogmatiques sont à retenir selon LRob :

  1. La sécurité finale d’un système est celle du maillon le plus faible de sa chaîne.
  2. La sécurité à 100% est illusoire (et quiconque prétend le contraire est un menteur ou un ignorant).
Robin LABADIE

A noter que les utilisateurs et administrateurs font partie de la chaîne de sécurité.

C’est pourquoi il ne faut négliger aucun aspect de la sécurité, aucun maillon de la chaîne informatique, car même en faisant de notre mieux, on peut laisser passer des éléments et on n’est jamais à l’abri d’une faille « 0 day », c’est à dire une faille exploitée avant d’être corrigée.

Sécurités LRob

Les serveurs LRob comportent de nombreux niveaux de sécurité visant à bloquer les attaques au plus haut de la chaîne serveur. Nous tentons d’être irréprochables sur tous les aspects afin de s’approcher tant que possible d’une sécurité à 100%. Retenez que la sécurité parfaite n’existe jamais, mais on peut tenter de s’en approcher. Les sécurités LRob sont rigoureuses et certaines sont inédites dans le monde des hébergeurs, pour vous assurer le plus haut niveau de sécurité possible.

Sécurité par défaut

Sécurité serveur ultime « out of the box » !

Pare-feu applicatif ModSecurity

Bloque efficacement les requêtes malveillantes avant qu’elles n’atteignent vos sites. En cas de récidive, fail2ban se charge de bloquer totalement l’IP attaquante pour plus de sécurité.

Anti-bruteforce Fail2ban

Bloque totalement les accès non autorisés répétés sur tous les services du serveur. Blocage IP des tentatives de brute-force WordPress, Plesk, Email, FTP. Blocage également des robots en recherche de vulnérabilités sur les serveurs.

Isolation des sites

Chaque site est isolé dans son utilisateur système par défaut. En cas de souci sur un site, cela ne peut pas affecter les autres.

Antivirus serveur

ImunifyAV scanne régulièrement les sites.

Mise à jour de PHP

Si vous oubliez, on s’en charge pour vous !

Mises à jour quotidiennes des serveurs

Des failles dans l’applicatif serveur peuvent aussi exister (même si les hébergeurs le nient en bloc). La mise à jour quotidienne permet de garder votre hébergement le plus à l’abri possible des failles de sécurité.

Sauvegardes hébergeur quotidiennes

Sauvegardes externalisées avec une rétention d’un an pour une tranquillité d’esprit maximale.

Certificats SSL/TLS inclus

Génération de certificat TLS automatique & HTTPS forcé par défaut. Certificats Wildcards gratuits disponibles gratuitement si vous gérez les zones DNS de vos sites via LRob.

Chiffrement fort

Utilisation exclusive de ciphers TLS sécurisés.

Sécurité pour WordPress

La sécurisation de WordPress rendue facile !

Contrôle en un regard

Votre panel d’hébergement met en évidence toute anomalie dans vos instances WordPress.

Mises à jour automatiques de WordPress

Activable en quelques clics pour s’assurer d’une sécurité maximale en permanence.

Protection Login WordPress

Blocage IP des attaques brute-force sur votre login WordPress.

Antivirus serveur

ImunifyAV scanne régulièrement les sites pour vérifier qu’aucun fichier malveillant n’est connu. En cas d’anomalie, vous recevez un email.

Détection des failles de sécurité WordPress

Vérifiez manuellement les vulnérabilités et recevez des alertes en cas de nouvelle vulnérabilité détectée, pour réagir rapidement.

Voir les 24 règles de sécurité pour WordPress
  1. Modifier le nom d’utilisateur de l’administrateur par défaut (admin)
  2. Bloquer l’accès à .htaccess et .htpasswd
  3. Bloquer l’accès aux fichiers potentiellement sensibles (logs, scripts, exécutables)
  4. Bloquer l’accès aux fichiers contenant des identifiants
  5. Bloquer les robots en recherche de failles spécifiques à WordPress
  6. Modifier le préfixe de table de base de données par défaut
  7. Désactiver l’édition de fichier dans le tableau de bord WordPress
  8. Désactiver l’exécution PHP dans les répertoires cache
  9. Désactiver les langages de scripts non utilisés (Python, Perl, etc.)
  10. Désactiver les pingbacks
  11. Désactiver la concaténation des scripts sur le panneau admin WordPress
  12. Bloquer l’accès au fichier wp-config.php
  13. Interdire l’exécution de scripts PHP dans le répertoire wp-content/uploads
  14. Interdire l’exécution de scripts PHP dans le répertoire wp-includes
  15. Bloquer la navigation dans les répertoires (-indexes)
  16. Bloquer l’accès au fichier xmlrpc.php
  17. Configurer les clés de sécurité
  18. Restreindre l’accès aux fichiers et répertoires (permissions)
  19. Bloquer les author scans
  20. Activer les mises à jour automatiques
  21. Générer un mot de passe sécurisé
  22. Détecter automatiquement les failles de sécurité
  23. Scanner le site en recherche de fichiers malveillants
  24. Définir une version de PHP avec support sécurisé

Failles de sécurité

Failles serveur

Les failles de sécurité pouvant avoir lieu côté serveur sont gérées par l’hébergeur LRob.

LRob utilise des serveurs Linux (Debian) qui est une version très fiable, stable et sécurisée, idéale pour un système de serveurs web en production. Les failles de sécurité sous Linux sont généralement corrigées très rapidement, avant même qu’elles ne soient révélées publiquement.

Nous avons également mis en place plusieurs mesures pour éviter les failles serveur, notamment une veille active des failles des systèmes Linux avec une mise à jour manuelle immédiate en cas de faille. Mais aussi une mise à jour quotidienne automatique de l’ensemble de l’applicatif serveur, avec une vérification manuelle mensuelle chaque premier lundi du mois.

Failles CMS

Un site web interactif et dynamique, comme ceux construits avec des CMS, est exposé aux failles de sécurité. C’est pourquoi il est essentiel de contrôler et sécuriser les interactions entre l’utilisateur et votre site.

Les CMS comme WordPress sont régulièrement sujets à des failles de sécurité. LRob fournit de nombreuses sécurités additionnelles côté serveur et des outils pour vous aider à rester sécurisé. Néanmoins, devant une faille de sécurité, votre site peut rester vulnérable. Il est donc important de :

  • Maintenir votre CMS et ses plugins à jour (activez les mises à jour automatiques).
  • Utiliser des mots de passe forts et uniques.
  • Surveiller les utilisateurs et fichiers du site pour éviter les intrusions.
  • Utiliser les outils de Plesk pour vérifier les éventuelles failles présentes et les corriger (par la mise à jour, désactivation ou remplacement des scripts).
  • Utiliser les outils de Plesk pour ajouter des règles de sécurité additionnelles à WordPress

Des outils comme le WordPress Toolkit de Plesk vous aident à conserver vos applicatifs WordPress et autres plus sécurisés que sur la plupart des hébergements. Néanmoins vous ne pouvez pas reposer uniquement sur ces sécurités additionnelles : Si votre application est intrinsèquement insécurisée, alors elle pourrait être piratée.

Notez que l’applicatif PHP qui exécute votre applicatif final (CMS) peut également contenir des failles de sécurité lorsque vous en utilisez une version obsolète qui ne reçoit plus de support de sécurité. Il est conseillé de vérifier votre version de PHP 1x par an. Les failles provenant de versions de PHP obsolètes sont évitées tant que possible par LRob en poussant une fois par an les nouvelles versions de PHP utilisées sur les sites web (et en avertissant les éventuels propriétaires d’hébergements en cas d’incompatibilité de leur site avec les nouvelles versions de PHP).

Si vous soupçonnez un piratage ou un changement inattendu sur votre site, contactez votre support qui saura vous guider et aider efficacement.


Pages liées :