Aller au contenu principal

Recommandations de sécurité

Recommandations de sécurité essentielles pour vos sites web

Nous avons compilé quelques directives de sécurité essentielles pour aider à réduire le risque d’activité malveillante sur vos sites. Suivre ces pratiques contribuera à sécuriser vos données et à garantir le bon fonctionnement des sites.

Utilisez des mots de passe complexes pour prévenir les attaques par force brute

Assurez-vous que vos mots de passe comportent au moins 8 caractères, avec une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Il est important de :

  • Utiliser des mots de passe différents pour chaque compte (utilisateurs FASTPANEL, comptes FTP/SFTP, boîtes mail, panneaux d’administration des sites).
  • Modifier régulièrement les mots de passe afin de réduire le risque qu’ils soient compromis.

Hébergez les sites sur des comptes utilisateur FASTPANEL distincts

Évitez d’héberger plusieurs sites sous le même compte utilisateur. Si un site est compromis, cela peut affecter tous les sites partageant ce compte. L’hébergement sur des comptes distincts empêche les scripts malveillants de se propager d’un site à l’autre. Cela est particulièrement important pour les agences ou les utilisateurs gérant les sites web de plusieurs clients.

Configurez des sauvegardes

Des sauvegardes régulières vous permettent de restaurer rapidement votre site en cas de panne ou de piratage. Voici pourquoi les sauvegardes sont essentielles :

  • Restaure votre site après des mises à jour échouées ou des incidents de sécurité.
  • Évite la perte de données en cas d’urgence.

Suivez ce guide pour configurer des sauvegardes automatiques.

Besoin de plus d’espace pour les sauvegardes ?
Louer un espace de stockage de sauvegarde

Mettez en place un captcha pour prévenir le spam et les attaques par force brute

Pour réduire le spam généré par les bots et les tentatives de piratage :

  • Installez un captcha sur tous les formulaires web (connexion, inscription, sections de commentaires).
  • Vérifiez si votre CMS propose des plugins captcha intégrés. Des plateformes CMS populaires comme WordPress et Joomla proposent des plugins faciles à utiliser comme Google reCAPTCHA.

Les captchas peuvent réduire considérablement les soumissions de spam et les attaques de mots de passe par force brute, sécurisant ainsi l’intégrité de votre site.

Maintenez votre OS, votre CMS et vos plugins à jour

Les développeurs découvrent régulièrement des vulnérabilités logicielles et publient des correctifs pour les sécuriser. Voici ce que vous devez faire :

  • Vérifiez régulièrement les mises à jour de votre CMS, de l’OS du serveur et des plugins installés.
  • Planifiez des mises à jour automatiques lorsque c’est possible afin de garantir que les correctifs de sécurité critiques soient toujours installés.

Que faire si votre site web est piraté

Dans le cas malheureux d’un piratage, suivez ces étapes pour minimiser les dégâts et restaurer votre site :

Restreindre l’accès:
Fermez immédiatement l’accès au site compromis à l’aide d’une autorisation HTTP afin d’empêcher la propagation de scripts malveillants. Vous pouvez gérer cela via les paramètres du site dans FASTPANEL.

Vérifier les tâches cron:
Des tâches cron malveillantes sont souvent ajoutées lors d’une attaque. Pour examiner les tâches cron de l’utilisateur compromis, exécutez la commande suivante via SSH (remplacez USER par votre nom d’utilisateur réel) :

crontab -l -u USER

Redémarrer le serveur:
Pour arrêter les processus malveillants, redémarrez le serveur via "Settings" -> "Main" dans FASTPANEL.

Examiner et nettoyer le piratage:

  • Utilisez les journaux du serveur et les horodatages de modification des fichiers pour retracer l’origine du piratage.
  • Supprimez manuellement le code malveillant ou restaurez à partir d’une sauvegarde propre créée avant le piratage.
  • Utilisez la fonctionnalité Scan de FASTPANEL, mais gardez à l’esprit que tous les logiciels malveillants peuvent ne pas être détectés.

Mettre à jour les logiciels:
Après avoir identifié la vulnérabilité, mettez à jour votre CMS, vos plugins et les composants du serveur vers les dernières versions.

Sauvegarder après le nettoyage:
Une fois le site propre, créez une nouvelle sauvegarde.

Surveiller le comportement du site:
Rétablissez l’accès public à votre site et surveillez attentivement son comportement afin de vous assurer qu’aucune autre activité malveillante ne se produise.

Maintenance continue

Même après la récupération à la suite d’un piratage, il est important de poursuivre des mesures de sécurité proactives :

  • Vérifiez régulièrement les journaux du serveur pour détecter toute activité inhabituelle.
  • Effectuez des analyses de vulnérabilité de routine.
  • Assurez-vous que tous les composants du site sont toujours à jour.
  • Mettez en place une authentification multifacteur (MFA) pour les comptes critiques.