Sécurité

PROTÉGER SON SITE INTERNET


Attaque par déni de service (DDos), Cross site scripting (XSS), attaque d’URL sémantique, Injection SQL ...

Il y a un véritable accroissement du nombre d’attaques informatiques visant des sites Internet.

La plupart de ces attaques cherche à modifier l’apparence ou le contenu d’un serveur Internet ou à empêcher un système de fournir le service attendu. Le site devient alors inaccessible.

L’impact sur le propriétaire est important : image dévalorisée, manque à gagner...

Pourtant la grande majorité des sites internet en ligne sont vulnérables !

 

Les 2 principales cibles des attaques : les serveurs et les cms communautaires.

Serveurs

Deni de Service ou DDos

Le déni de service vise à rendre indisponible un service en surchargeant le réseau, ou en crashant l’application à distance.

 

En prévention : 

Firewall ou pare-feu

Le pare-feu permet de protéger un ordinateur ou un réseau d’intrusions provenant d’Internet. Il met en oeuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par le propriétaire de l’ordianteur.

 

Cloisonnement des sites

Cloisonner permet d’exécuter des scripts PHP sous une identité différente, pour chaque site web hébergé sur un serveur. Ainsi, si une personne arrive à pirater l’un des sites, elle ne pourra pas impacter les fichiers des autres sites.

 

Signature à enlever

Par défaut, en cas d’erreur, un serveur envoi trop d’informations. Il affiche une signature complète en bas de page. On y apprend la version exacte du serveur, le port utilisé et parfois même la version de PHP. Ces informations peuvent être exploitées en cas de faille de sécurité.
Il est important de désactiver cette signature.

 

Se connecter à distance en ssh avec clé

 

Interdire les connexions root

 

Backup

Un back-up régulier des bases de données et des fichier doit être réalisé.

 

CMS communautaires

WordPress

Wordpress a une notoriété sans égale... par conséquent la plupart de ses sites deviennent une cible et doivent faire face à de nombreux problèmes de sécurité.

Il est important d’installer les mises à jour lorsqu’elles sont disponibles. Cela évite que les failles de sécurité de la version précédente soient exploitées.

 

Droits des Fichiers

Les Droits sont importants notamment sur les fichiers sensibles (.htaccess et wp-config.php)

Le fichier wp-config.php contient l’ensemble des informations confidentielles dont WordPress a besoin pour accéder à votre base de données et chiffrer les cookies.
Protéger ce fichier est primordial.

 

Plugins Sécurité

Une fois en ligne, un site WP devient une cible
De nombreux plugins, dont la fonction n’est pas la même, aident à sécuriser les sites wordpress.

Outre les points de sécurité classiques, la sécurité d’un site WordPress passe également par les points suivants :
● Un mot de passe fort
● Une sauvegarde régulière de l’ensemble de votre site WordPress
● Une mise à jour régulière des plugin et de WordPress
● Une sécurisation des données de base (répertoires, fichier wp-config.php, etc…)

 

Règle Htaccess

Des règles sont à inscrire dans le fichier .htaccess pour bloquer des requêtes intrusives.

 

Scanner les fichiers 

Certains plugins préviennent par mail dès qu’un fichier est manipulé.

 

Enlèver la signature de WP

La signature donne trop d’informations aux pirates.

 

Vérifier les plugins

Un plugin peut ne pas être à jour ou ne pas être fiable. Il devient alors dangereux.

 

En savoir plus

  • 09 51 76 22 51
  • contact@valneo.net
  • Valneo
    Parc Technologique de Montmagny
    26 rue des Sablons
    95360 Montmagny