Il y a actuellement 95 visiteurs
Mercredi 26 Juin 2019
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

Sécurité CMS

Besoin d'aide pour configurer un serveur ? Vous souhaitez obtenir des conseils pour référencer votre site ? Un petit souci pour accéder à votre FTP ? Des soucis de programmation en PHP / ASP / HTML / XHTML / XML / XSLT / CSS / ReactJS / AngularJS / VueJS / CGI / PERL / C / MySQL / PostgreSQL ??? Nous avons peut-être la solution dans ce forum ...

Sécurité CMS

Message le 16 Mar 2016 20:47

Bonjour à tous,

Je souhaiterais aborder ce sujet car moult websites e-commerce souscrivent à un hébergement mutualisé. Si j'ai bien compris, seul l'hébergement en VPS permet de se protéger d'éventuelles attaques. N'hésitez pas à me contredire si vous avez d'autres informations.

Comment donc protéger son CMS en hébergement mutualisé, y'a t-il un moyen, quel qu'il soit, de ne pas rendre accessible le code de son ou ses sites internet ?

Merci.
Bejn1978
Sous Expert(e)
Sous Expert(e)
 
Messages: 42
Inscription: 13 Mar 2016 15:47
 


Re: Sécurité CMS

Message le 18 Mar 2016 14:05

Salut,

Bejn1978 a écrit:Je souhaiterais aborder ce sujet car moult websites e-commerce souscrivent à un hébergement mutualisé. Si j'ai bien compris, seul l'hébergement en VPS permet de se protéger d'éventuelles attaques. N'hésitez pas à me contredire si vous avez d'autres informations.


En vrai, c'est plutôt le contraire. En gros et pour faire simple : Quand tu loues un VPS (Virtual Private Server), c'est comme si tu louais un serveur (une machine physique complète donc), sauf que c'est pas vraiment une machine physique, elle est virtualisée. En gros, c'est un gros serveur qui fait tourner plusieurs petits serveurs. Mais tu as quand même accès à la machine complète, comme si tu étais sur ton propre ordi, sauf qu'il est accessible de tout le monde. De fait, comme tu loues une machine, c'est à toi qu'appartient d'en gérer la sécurité (ouverture/fermeture de ports, firewall, anti DDos, et autres). Donc pour quelqu'un dont ce n'est pas le métier, cela peut vite s'avérer complexe, et une erreur ou un oubli dans la sécurisation peuvent couter très cher.

À l'inverse, quand tu prends un hébergement mutualisé (prenons l'exemple d'OVH ou de Gandi), tu loues en fait un peu d'espace disque sur un serveur (physique ou virtuel) existant et géré par Gandi ou OVH, avec une redirection d'un ou de plusieurs noms de domaine sur cet espace disque. Donc tu as une approche totalement différente, vu que tu as bien plus de limitations que sur un VPS : techno souvent forcée (bien souvent PHP), nombre de bases de données limitées, espace disque limité, bande passante limitée, etc... Mais la sécurité de ton hébergement est gérée par l'hébergeur. C'est à dire que ces serveurs là sont déjà potentiellement déjà équipés d'un anti DDos, d'un fail2ban, dun firewall, etc etc...

En gros, je ne suis pas en train d'argumenter sur est ce que l'un est mieux que l'autre, mais les deux approches sont justifiées dans des cas d'utilisation totalement différent.

Explique nous peut être un peu plus ton projet, et on pourra éventuellement te dire quelle approche serait la mieux pour toi.

Bonne journée :)
En cas de problème constaté sur un sujet, contactez un modérateur par MP. N'intervenez pas vous-même. Merci bien.
Aucune aide ni support ne sera fourni par MP.
Avatar de l'utilisateur
H3bus
Moderateur
Moderateur
 
Messages: 12195
Inscription: 08 Avr 2008 16:13
Localisation: /home/h3bus
 

Re: Sécurité CMS

Message le 20 Mar 2016 16:11

bonjour,

Merci H3 pour ta réponse on ne peut plus complète et éclairante.

J'ai plusieurs projets de site dont des e-commerces dont la protection devra être importante, également des sites qui vendront des services, mais aussi des blogs (exemple un web-journal que je viens de créer). Tous mes sites seront fait vraisemblablement sur Wordpress, Via Softaculous.

Je ne sais pas si c'est lié, mais je possède un certificar EV SSL pour mon site principal (e-commerce), puis des certificats HR (ou HV ?) SSL free pour les autres sites. Tous ces sites sont hébergés dans le même espace qui m'est dédié, et qui est illimité. Je rajoute que je gère tous ces sites via cpanel.

Ma crainte c'est qu'une faille, ou une mauvaise utilisation (je ne vais pas gérer tous ces sites directement bien que j'en serait l'administrateur), viennent à contaminer tous mes autres sites, ce qui serait une catastrophe. Alors, ma question est donc lié à la sécurisation de ces sites, protéger le code source. Désolé si les termes que j'utilise ne sont pas les bons (je débute), je suis inexpérimenté, mais il faut bien commencer après tout !

En revanche, c'est peut-être contradictoire, mais je souhaite avoir d'emblée une démarche professionnelle. Alors je saoule un peu mon hébergeur avec mes nombreuses questions, je n'ai pas avec moi un webmaster pour m'assister, ce que je devrait peut-être songer à faire à un moment...

Donc, question annexe existe t-il un service d'assistance en webmastering pour résoudre un problème x à un instant t ?

Et je reviens à ma qustion principale, comment sécuriser mes sites internet et envisager le coeur de mon métier sereinement ?
Bejn1978
Sous Expert(e)
Sous Expert(e)
 
Messages: 42
Inscription: 13 Mar 2016 15:47
 

Re: Sécurité CMS

Message le 21 Mar 2016 02:15

Salut,

Globalement, je pense que tu t’inquiètes un peu trop. :) Mais je comprends, c'est le début c'est pour ça.

Tu as des certificats SSL, c'est déjà une très bonne démarche, cela veut dire que tu te prémunis (toi et tes utilisateurs) d'une attaque Man In The Middle

Plusieurs conseils :

Attention à tes mots de passes ! Cela parait stupide comme ça, mais je conseille vivement d'utiliser un service genre Dashlane ou LastPass pour stocker les mots de passe de manière sécurisée, notamment MySQL, FTP, etc... Aussi, ne surtout jamais choisir de mots de passe de moins de 8 caractères, et jamais de mots de passes "usuels" (azerty, 123456, etc...). Dans tout les cas, si tu n'utilises pas de service de stockage de mots de passe, utilise au moins un générateur (https://identitysafe.norton.com/fr/password-generator par exemple).

Attention aux plugins ! En effet, en soit un CMS comme Wordpress est déjà bien sécurisé. Mais la source de piratages de CMS est à 99% du temps l'utilisation d'un plugin avec une faille de sécurité. Un bon moyen de s'en prémunir, est de bien vérifier avant d'installer un plugin les commentaires dessous si il y en a, et les retours utilisateurs en général (quelques recherches google avec les bons mots clés peuvent en général t'aider). Généralement, prendre des plugins réputés et/ou open source est une bonne habitude à prendre.

Penser aux backups ! Effectivement, je comprends que tu ai peur d'un éventuels piratage, et malheureusement c'est très compliqué d'être à 200% sur que tu ne te fera jamais pirater. Et de toute manière, les piratages ne sont pas la seule source de problèmes. En effet, une erreur est si vite arrivée ! Donc la solution pour ta tranquillité d'esprits, c'est une politique de backups en béton. Je prends un exemple : je gère une base de données avec les données d'à peu près 100k utilisateurs. J'ai sécurisé le truc de manière assez balèze, mais il y a des choses que je ne maitrise pas, par exemple si il y a un faille de sécu dans Ubuntu, je ne peux rien y faire, mis à part mettre à jour l'OS. Par contre, la base de données est backupée toutes les nuits à 2:30 du matin, puis le fichier de backup est copié automatiquement sur un autre serveur et sur mon NAS à la maison. Du coup, si mon serveur est piraté, cela me prendrait à tout casser 20 minutes de tout remettre sur pieds. On le dit, on le répète, mais les backups, c'est la vie. Il faut tout backuper, régulièrement, et être sur de pouvoir tout restaurer rapidement si besoin. Le mieux étant de répéter les scénarios de restauration, pour être sur de n'avoir rien oublié.

Bejn1978 a écrit:En revanche, c'est peut-être contradictoire, mais je souhaite avoir d'emblée une démarche professionnelle. Alors je saoule un peu mon hébergeur avec mes nombreuses questions, je n'ai pas avec moi un webmaster pour m'assister, ce que je devrait peut-être songer à faire à un moment...

Donc, question annexe existe t-il un service d'assistance en webmastering pour résoudre un problème x à un instant t ?


Ça existe, oui, ça s'appelle de l'infogérance, des sociétés font ça, mais ça peut couter assez cher, donc je ne suis pas sur que ça vaille le coup pour l'instant, surtout si ton hébergeur peut répondre à tes questions.

@++
En cas de problème constaté sur un sujet, contactez un modérateur par MP. N'intervenez pas vous-même. Merci bien.
Aucune aide ni support ne sera fourni par MP.
Avatar de l'utilisateur
H3bus
Moderateur
Moderateur
 
Messages: 12195
Inscription: 08 Avr 2008 16:13
Localisation: /home/h3bus
 

Re: Sécurité CMS

Message le 21 Mar 2016 21:57

bien le merci H3, c'est bien en effet parce que je débute que je m'inquiète sûrement de manière démesurée. Côté back-up, pas de souci, mon hébergeur fait des sauvegardes très régulières. Pour la gestion des mots de passe j'ai déjà un compte sue onepassword, je ne sais pas si c'est le meilleur en la matière. Enfin, concernant les pluggins merci pour le tuyau, je ferai attention à ne pas télécharger n'importe quoi, et je ferai les vérifications nécessaires au préalable.

:)
Bejn1978
Sous Expert(e)
Sous Expert(e)
 
Messages: 42
Inscription: 13 Mar 2016 15:47
 



Sujets similaires

Message FIREFOX QUANTUM 66.0.5 (64 bits) parametres securité
Salut tout le monde !pouvez vous me dire svp qu'est qu'il faut faire et comment procéder pour ses paramètres de sécurité Firefox : http://zupimages.net/viewer.php?id=19/20/244l.png
Réponses: 6

Message Quel antivirus ou autres programmes securite choisir?
Salut tout le mondeJe possède un smartphone Samsung Galaxy note 8 je précise donc système Android, j ai beau chercher sur le net je ne trouve pas déjà de sites de confiance pour Android puis un antivirus efficace ainsi que des logiciels de protection détection nettoyage etc... donc ma question est : ...
Réponses: 6

Message probleme certificat securite
bonjour sur le portable de madame (un lgg4)sur certains sites y a un message qui arrive souvent probleme de certifcat de securite apres un encadre arrive avec "malheureusement internet a cessé de fonctionné " j'ai regardé on parle d'un probleme d'horloge son telephone et a l'heure je n'arr ...
Réponses: 4

Message désactivation de la sécurité au démarrage pc acer
Bonjour,Pourriez-vous m'aider à résoudre ce problème, je souhaiterai installer une version de Linux sur ce pc portable acer modèle "aspire SW5-012" N° série : NTL4SEF0044397E0497200 avec les paramètres du bios :Processeur Atom Z37735F 1.33Ghz2 go de ramDans Main : date et heure F12 sur ...
Réponses: 17

Message J'ai un problème de sécurité ?
Bonjour tout le monde , j'ai remarqué il y'a déja pas mal de temps ,chez moi , sur mes deux pc (celui ci et un autre windows 8 ) que fréquement plusieurs fenétres d'invites de commandes qui s'ouvrent parfois briévement pendant quelques instants puis se ferment .Aujourd'hui en télechargeant la dernié ...
Réponses: 1

Message problème securité acces disque dur DD
Bonjour tout le monde ! Tout d'abord avant de solliciter votre aide je tiens à préciser que c'est à cause de mon ignorance et de ma bêtise que j'en suis la... Je suis sous Windows 10. J'ai voulu créer une session invité mais lui bloquer l?accès à mon 2nd disque dur interne (pas de vidéos coquines ma ...
Réponses: 1

Message [Réglé] Skype "Alerte sécurité"
Bonjour,voila depuis quelques temps quand j'ouvre skype il m'affiche ceci :Je voudrais savoirs pourquoi il y a ceci et puis comment enlever cette fenêtre une bonne fois pour touteVoila merci d'avance
Réponses: 5


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.