Sécurité CMS

[Bejn1978]

Bonjour à tous,

Je souhaiterais aborder ce sujet car moult websites e-commerce souscrivent à un hébergement mutualisé. Si j'ai bien compris, seul l'hébergement en VPS permet de se protéger d'éventuelles attaques. N'hésitez pas à me contredire si vous avez d'autres informations.

Comment donc protéger son CMS en hébergement mutualisé, y'a t-il un moyen, quel qu'il soit, de ne pas rendre accessible le code de son ou ses sites internet ?

Merci.

[H3bus]

Salut,

Je souhaiterais aborder ce sujet car moult websites e-commerce souscrivent à un hébergement mutualisé. Si j'ai bien compris, seul l'hébergement en VPS permet de se protéger d'éventuelles attaques. N'hésitez pas à me contredire si vous avez d'autres informations.

En vrai, c'est plutôt le contraire. En gros et pour faire simple : Quand tu loues un VPS (Virtual Private Server), c'est comme si tu louais un serveur (une machine physique complète donc), sauf que c'est pas vraiment une machine physique, elle est virtualisée. En gros, c'est un gros serveur qui fait tourner plusieurs petits serveurs. Mais tu as quand même accès à la machine complète, comme si tu étais sur ton propre ordi, sauf qu'il est accessible de tout le monde. De fait, comme tu loues une machine, c'est à toi qu'appartient d'en gérer la sécurité (ouverture/fermeture de ports, firewall, anti DDos, et autres). Donc pour quelqu'un dont ce n'est pas le métier, cela peut vite s'avérer complexe, et une erreur ou un oubli dans la sécurisation peuvent couter très cher.

À l'inverse, quand tu prends un hébergement mutualisé (prenons l'exemple d'OVH ou de Gandi), tu loues en fait un peu d'espace disque sur un serveur (physique ou virtuel) existant et géré par Gandi ou OVH, avec une redirection d'un ou de plusieurs noms de domaine sur cet espace disque. Donc tu as une approche totalement différente, vu que tu as bien plus de limitations que sur un VPS : techno souvent forcée (bien souvent PHP), nombre de bases de données limitées, espace disque limité, bande passante limitée, etc... Mais la sécurité de ton hébergement est gérée par l'hébergeur. C'est à dire que ces serveurs là sont déjà potentiellement déjà équipés d'un anti DDos, d'un fail2ban, dun firewall, etc etc...

En gros, je ne suis pas en train d'argumenter sur est ce que l'un est mieux que l'autre, mais les deux approches sont justifiées dans des cas d'utilisation totalement différent.

Explique nous peut être un peu plus ton projet, et on pourra éventuellement te dire quelle approche serait la mieux pour toi.

Bonne journée

[Bejn1978]

bonjour,

Merci H3 pour ta réponse on ne peut plus complète et éclairante.

J'ai plusieurs projets de site dont des e-commerces dont la protection devra être importante, également des sites qui vendront des services, mais aussi des blogs (exemple un web-journal que je viens de créer). Tous mes sites seront fait vraisemblablement sur Wordpress, Via Softaculous.

Je ne sais pas si c'est lié, mais je possède un certificar EV SSL pour mon site principal (e-commerce), puis des certificats HR (ou HV ?) SSL free pour les autres sites. Tous ces sites sont hébergés dans le même espace qui m'est dédié, et qui est illimité. Je rajoute que je gère tous ces sites via cpanel.

Ma crainte c'est qu'une faille, ou une mauvaise utilisation (je ne vais pas gérer tous ces sites directement bien que j'en serait l'administrateur), viennent à contaminer tous mes autres sites, ce qui serait une catastrophe. Alors, ma question est donc lié à la sécurisation de ces sites, protéger le code source. Désolé si les termes que j'utilise ne sont pas les bons (je débute), je suis inexpérimenté, mais il faut bien commencer après tout !

En revanche, c'est peut-être contradictoire, mais je souhaite avoir d'emblée une démarche professionnelle. Alors je saoule un peu mon hébergeur avec mes nombreuses questions, je n'ai pas avec moi un webmaster pour m'assister, ce que je devrait peut-être songer à faire à un moment...

Donc, question annexe existe t-il un service d'assistance en webmastering pour résoudre un problème x à un instant t ?

Et je reviens à ma qustion principale, comment sécuriser mes sites internet et envisager le coeur de mon métier sereinement ?

[H3bus]

Salut,

Globalement, je pense que tu t’inquiètes un peu trop. Mais je comprends, c'est le début c'est pour ça.

Tu as des certificats SSL, c'est déjà une très bonne démarche, cela veut dire que tu te prémunis (toi et tes utilisateurs) d'une attaque Man In The Middle

Plusieurs conseils :

Attention à tes mots de passes ! Cela parait stupide comme ça, mais je conseille vivement d'utiliser un service genre Dashlane ou LastPass pour stocker les mots de passe de manière sécurisée, notamment MySQL, FTP, etc... Aussi, ne surtout jamais choisir de mots de passe de moins de 8 caractères, et jamais de mots de passes "usuels" (azerty, 123456, etc...). Dans tout les cas, si tu n'utilises pas de service de stockage de mots de passe, utilise au moins un générateur (https://identitysafe.norton.com/fr/password-generator par exemple).

Attention aux plugins ! En effet, en soit un CMS comme Wordpress est déjà bien sécurisé. Mais la source de piratages de CMS est à 99% du temps l'utilisation d'un plugin avec une faille de sécurité. Un bon moyen de s'en prémunir, est de bien vérifier avant d'installer un plugin les commentaires dessous si il y en a, et les retours utilisateurs en général (quelques recherches google avec les bons mots clés peuvent en général t'aider). Généralement, prendre des plugins réputés et/ou open source est une bonne habitude à prendre.

Penser aux backups ! Effectivement, je comprends que tu ai peur d'un éventuels piratage, et malheureusement c'est très compliqué d'être à 200% sur que tu ne te fera jamais pirater. Et de toute manière, les piratages ne sont pas la seule source de problèmes. En effet, une erreur est si vite arrivée ! Donc la solution pour ta tranquillité d'esprits, c'est une politique de backups en béton. Je prends un exemple : je gère une base de données avec les données d'à peu près 100k utilisateurs. J'ai sécurisé le truc de manière assez balèze, mais il y a des choses que je ne maitrise pas, par exemple si il y a un faille de sécu dans Ubuntu, je ne peux rien y faire, mis à part mettre à jour l'OS. Par contre, la base de données est backupée toutes les nuits à 2:30 du matin, puis le fichier de backup est copié automatiquement sur un autre serveur et sur mon NAS à la maison. Du coup, si mon serveur est piraté, cela me prendrait à tout casser 20 minutes de tout remettre sur pieds. On le dit, on le répète, mais les backups, c'est la vie. Il faut tout backuper, régulièrement, et être sur de pouvoir tout restaurer rapidement si besoin. Le mieux étant de répéter les scénarios de restauration, pour être sur de n'avoir rien oublié.

En revanche, c'est peut-être contradictoire, mais je souhaite avoir d'emblée une démarche professionnelle. Alors je saoule un peu mon hébergeur avec mes nombreuses questions, je n'ai pas avec moi un webmaster pour m'assister, ce que je devrait peut-être songer à faire à un moment...

Donc, question annexe existe t-il un service d'assistance en webmastering pour résoudre un problème x à un instant t ?

Ça existe, oui, ça s'appelle de l'infogérance, des sociétés font ça, mais ça peut couter assez cher, donc je ne suis pas sur que ça vaille le coup pour l'instant, surtout si ton hébergeur peut répondre à tes questions.

@++

[Bejn1978]

bien le merci H3, c'est bien en effet parce que je débute que je m'inquiète sûrement de manière démesurée. Côté back-up, pas de souci, mon hébergeur fait des sauvegardes très régulières. Pour la gestion des mots de passe j'ai déjà un compte sue onepassword, je ne sais pas si c'est le meilleur en la matière. Enfin, concernant les pluggins merci pour le tuyau, je ferai attention à ne pas télécharger n'importe quoi, et je ferai les vérifications nécessaires au préalable.