Bonnes pratiques d'utilisateur pour sécuriser son compte d'hébergement
Pré-requis
-
Accès à votre Hub Funio ou
-
Accès à cPanel
À propos
Peu importe le type de site Web ou le contenu que vous y mettez, certaines personnes voudront tout de même pirater votre compte. Pourquoi? Car ils peuvent vous causer du tort à vous ou à d’autres personnes. Des choses comme :
-
Insérer un site d’hameçonnage sur votre espace d’hébergement
-
Envoyer des pourriels
-
Démarrer ou relayer des attaques à partir de votre compte
-
Obtenir de l’information de votre base de données client, etc.
Voici comment s'assurer de la sécurité de votre compte.
Comportements sécuritaires de base
Utilisez un mot de passe difficile à deviner et changez-le régulièrement
Un bon mot de passe est muni des éléments suivants :
-
Un minimum de 8 caractères
-
Des lettres (minuscules et majuscules)
-
Des nombres
-
Des symboles
Essayez de ne pas utiliser le même mot de passe pour votre compte bancaire, votre ordinateur, votre courriel, votre autre courriel et le collant sous votre clavier. En fait, brûlez le collant, ou verrouillez-le dans un coffre-fort!
Mises à jour de vos logiciels et de votre système d’exploitation
Ces mises à jour contiennent des paramètres qui amélioreront la sécurité du logiciel en question.
Téléchargez uniquement à partir de sources connues et de confiance
Même si vous désirez réellement obtenir un fichier, un programme, etc., mais que vous ne pouvez pas valider si sa source est de confiance, laissez tomber et trouvez une autre source. Appliquez cette même logique avec vos courriels : si vous avez un doute, ne serait-ce que pour une microseconde, que la provenance du courriel que vous avez reçu de votre meilleur ami semble louche, et que ce courriel contient un lien ou un fichier en pièce jointe, ne suivez pas le lien et ne téléchargez pas la pièce jointe.
Utilisez toujours un logiciel antivirus et un pare-feu
Il y a plusieurs antivirus gratuits sur internet qui fonctionnent très bien. Assurez-vous seulement de vous en procurer un qui est reconnu et de confiance. Ne le désactivez pas même si vous croyez qu’il ralentit votre ordinateur. Laissez-le actif et demeurez protégé. Effectuez la mise à jour du logiciel si vous croyez qu’il est en cause de ralentissements et vérifiez vos paramètres.
Les pare-feu sont aussi un excellent moyen de vous protéger de l’intrusion de logiciels malveillants. La fonction d’un pare-feu est de bloquer les ports de communication. Vous êtes donc averti lorsque quelque chose tente de se connecter à votre ordinateur à travers un port particulier.
Résolution de problèmes communs sur un hébergement Web
Voici une liste de problèmes communs, et quelques conseils comment les éviter ou les résoudre.
CMS & logiciels tiers
METTEZ-LES À JOUR! Nous ne pouvons mettre assez d’emphase sur cet aspect.
Effectuer la mise à jour de ces logiciels au fur et à mesure que les mises à jour sont disponibles est une partie essentielle de l’utilisation de ces applications. Pourquoi? Car aussitôt qu’une vulnérabilité est décelée, le fournisseur trouvera rapidement une solution au problème et mettra la réparation disponible aussitôt.
One-Click, un plug-in de cPanel, vous permet d’installer avec un seul clic plusieurs logiciels populaires. Il vous permet aussi d’effectuer des mises à jour tout aussi facilement.
Une note sur les applications additionnelles. Prenons WordPress comme exemple : il y a plusieurs applications additionnelles qui se rattachent à votre blogue que nous appelons plug-ins. N’importe qui peut créer ces applications. Ceci s’applique aussi aux thèmes. Par contre, ces plug-ins et ces thèmes ne sont pas toujours programmés parfaitement et peuvent être une source de vulnérabilités. Vous devez vous assurer que les applications additionnelles que vous utilisez sont de confiance, et idéalement qu’elles sont offertes par le fournisseur de l’application principale, et qu'elles sont mises à jour régulièrement.
Certains plug-ins peuvent vous aider avec la sécurité de votre site! Certains plug-ins de CMS traitent des problèmes comme le pollupostage de commentaires ou des attaques de force brute.
Sécurité spécifique. Voici un peu de documentation que nous avons trouvé qui saura vous aider avec certains CMS (en anglais) :
Téléversement de fichiers sans restrictions
C’est probablement la méthode la plus commune utilisées par les pirates pour compromettre un site Web. S’il y a une option de téléversement de fichier sur votre site, car vous désirez que vos utilisateurs téléversent un type de fichier (musique, photo, texte, etc.), vous devriez restreindre le type de fichier qui peut être téléversé.
Les pirates tenteront de téléverser un fichier PHP ou asp, par exemple, ce qui leurs permettra de l’exécuter sur votre site en allant directement à l’emplacement du téléversement via URL. Lorsque ce script est présent, le pirate se retrouve avec un accès complet et sans restrictions à votre site et vos fichiers, car ils peuvent exécuter un script sur votre site qui contient leurs propres codes, mais qui est exécuté sous l’identité de votre site.
Pour prévenir cette situation, votre formulaire de téléversement devrait restreindre les types de fichiers qui peuvent être téléversés. Si vous désirez que vos visiteurs puissent téléverser des images, par exemple, vous devriez restreindre les fichiers à JPG, GIF, PNG, etc.. Peu importe ce que vous faites, assurez-vous que personne ne puisse téléverser des fichiers exécutables à partir de cette fonction.
Injections SQL
Cette technique d’injection de code demande que vous vous assuriez que vos scripts qui utilisent une base de données soient bien programmés afin d’éviter l’exploitation de requêtes SQL. De base, si vous avez un formulaire sur votre site qui compile des données ou qui récupère des données d’une base de données (comme une page de connexion), des caractères d’échappement pourraient être utilisés pour injecter des scripts malicieux pour ainsi gagner un accès à votre site, vos fichiers et vos données.
Étant donné que ce type de situation peut devenir très technique, nous vous recommandons de faire quelques recherches sur les injections SQL et comment vous en protéger. Vous pouvez débuter ici, sur le site de PHP.
Permissions des fichiers & des répertoires
C’est parfois un énorme problème chez certains fournisseurs. Heureusement pour vous, Funio a configuré CageFS pour vous aider. Ce module s’assure que votre compte est isolé et ne peut être ciblé par les permissions de fichiers. Par contre, conserver de bonnes permissions de fichiers et de répertoires est une excellente pratique.
Tous les fichiers et les répertoires ont des permissions qui sont séparées en 3 :
-
Propriétaire (Owner)
-
Groupe (Group)
-
Publique (Public)
Chaque type d’autorité peut lire, écrire ou exécuter le fichier ou le dossier. Évidemment, le propriétaire devrait avoir toutes les permissions sur les fichiers et les répertoires.
Certaines applications, ou des sites préfabriqués ont des permissions de 777 par défaut, ce qui veut dire que toutes les autorités ont un accès complet aux fichiers/répertoires. C’est normalement une façon pour l’application d’être exécuté sans restrictions et que vous puissiez gérer les données facilement. Par contre, lorsque téléversé sur le serveur, cela implique une vulnérabilité considérable, car n’importe qui peut faire ce qu’il veut avec les fichiers et dossiers. Par contre, nous avons mis en place une mesure de sécurité qui affiche une page d’erreur 403 au lieu de votre contenu si vous téléversez un fichier/dossier avec ces permissions excessives 777.
Pour modifier les permissions, vous pouvez vous connecter via FTP ou par le gestionnaire de fichiers du panneau de contrôle cPanel. Vous n’avez qu’à identifier le fichier/répertoire que vous désirez modifier, et faites un clic droit de la souris et trouver l’option de permissions. Veuillez noter qu’il y a une option qui affecte tous les sous-fichiers/sous-dossiers avec les nouvelles permissions que vous allez mettre en place lorsque vous sélectionnez un répertoire. Ça peut donc vous faciliter la tâche. Pour garder le tout bien simple, veuillez utiliser les permissions suivantes :
-
Permissions des dossiers : 755
-
Permissions des fichiers : 644
Cryptage de données
Lorsque vous avez un formulaire en ligne qui soumet des données importantes telles que des informations de carte de crédit, vous devez être en mesure de crypter les données soumises à votre site. Le cryptage de données découragera immédiatement un pirate de détecter les données transmises sur votre site. Par exemple, si vous avez un panier d’achats en ligne qui prend des paiements, vous devez absolument installer un certificat SSL validé par une autorité de certification. Heureusement pour vous, Funio offre des certificats SSL.
Vous pouvez aussi créer votre propre certificat autosigné si vous ne faites pas affaire avec un public externe ou de l’information publique.
Utiliser des liens/ports sécurisés, lorsque disponibles
Vous devriez toujours utiliser un lien sécurisé (https://) au lieu d’un lien non sécurisé lorsque vous avez le choix. Par exemple, nous vous redirigeons automatiquement au lien sécurisé de vos interfaces Funio lorsque vous saisissez votre domaine/cPanel ou domaine/Webmail.
Accès Courriel Web
https://hostname:2096
Accès cPanel
https://hostname:2083
Configurations de votre client de messagerie
-
Secure POP3 : port 995
-
Secure IMAP : port 993
-
Secure SMTP : 465
0 Commentaires