Protégez votre site-web des pirates !

 

Les pirates du web et autres hackers sévissent sans loi ni foi comme le faisait autrefois les pirates de haute-mer ! Ces bandits électroniques constituent, en effet, un réel danger pour la sécurité de votre site-web, pis encore ils peuvent le supprimer ou encore le remplacer par un autre (defacing)!

Qui sont-ils ?

Les pirates sont des «skiddy», des jeunes (« kid » en anglais) qui utilisent des scripts prêts à l’emploi (le «s» de skiddy) qu’on trouve facilement sur le web pour exploiter les failles d’un CMS, blog, forum ou e-commerce, … . Ils ne font qu’utiliser ces scripts comme on utilise un logiciel. Ce ne sont pas des «petits génies». Ils se lancent des défis à celui qui effacera le plus de sites web. Les autres sont des pirates au service d’une mafia afin de transformer votre site web et une faille de votre CMS, blog, forum ou e-commerce en plate-forme d’envoi de spams. Ceux-là créent leurs propres scripts qu’ils ne partagent pas avec une communauté. Ils font cela pour de l’argent; les mafieux les payent en fonction du nombre de sites web piratés et d’ordinateurs personnels dont ils ont pris le contrôle à l’insu du malheureux propriétaire (c’est-à-dire votre PC et chez vous en profitant de votre connexion à internet en programmant un malware).

Pourquoi votre site ?

Concrètement, ni le skiddy, ni le mafieux ne vous visent personnellement. Les uns le font pour le jeu, les autres pour l’argent. Il est peu probable qu’on vous vise pour des raisons politiques. Certains skiddies effacent des sites et se cachent derrière des pseudo slogans anti-occidentaux, histoire de vous faire peur et de se prendre au sérieux. Il n’en est rien, rassurez-vous.

Comment trouvent-ils la faille de sécurité ?

Grâce à Google, le pirate cherche un fichier précis comme login.php, confip.php, ou autres, et, combiné avec quelques mots-clés, ils savent quel CMS, blog, forum ou e-commerce vous utilisez, et essaieront de lancer un script pour tester si l’attaque fonctionne. Il ne font pas ça manuellement, ils ont des logiciels qui le font automatiquement !! Leurs logiciels testent chaque URL listée par Google à la recherche de la faille. C’est aussi simple que ça. Ils vous trouvent par hasard. Quel dommage!

Ceci étant, il est très important de suivre ces quelques conseils recueillis auprès des spécialiste en la matière.

I- Votre CMS, blog, forum ou e-commerce doit être à jour. Vous devez impérativement suivre les mises à jour de sécurité et les installer au fur et à mesure.

II- Pour prémunir davantage votre site-web, installez un script conçu spécialement pour installer les mises à jour de sécurité. Cela automatisera la surveillance de votre site-web et vous rendra compte presque quotidiennement des dernières mises à jour ainsi que des menaces qui  »rodent » autour tout en vous indiquant les logiciels adéquats.

III- Protégez les parties sensibles de votre CMS, blog, forum ou e-commerce, comme le fichier config.php et .htaccess en lui donnant les droits 404 (ou 444).

Personne ne pourra le modifier, même pas vous (sauf si votre site a un gros trou de sécurité, mais imparable contre une attaque automatique). Vous ne pourrez le faire que par FTP quand vous aurez vraiment besoin de le modifier.

IV- Tous vos fichiers doivent avoir les droits 404 (ou 444),

V-Tous vos dossiers doivent avoir les les droits 505 (ou 555).

Si un fichier ou un dossier nécessite des droits d’écriture par le serveur mettez 604 pour le fichier et 705 pour le dossier. Inutile de faire le fameux 777 (tous les droits à tout le monde) qui est un danger public, une provocation au piratage, car vous annoncez que votre maison est grande ouverte, sans porte ni fenêtre, tout le monde peut se servir.

VI- Fichiers config et htaccess ont des droits 404 (ou 444),

VII- Le dossier «www» ou «public_html» doit être en chmod 705 ou 755 selon votre hébergeur, ne le changez jamais.

Avantage: personne ne peut modifier vos fichiers. Inconvénient: il faut changer les droits en écriture (644 et 755) si vous faites une mise à jour de votre CMS, blog, forum ou e-commerce et remettre les bons droits 404 (ou 444) et 505 (ou 555) après. Cela prend 10 min., mais ça vaut la peine.

VIII- Il est possible d’accélérer le changement des droits par SSH en automatisant le changement des droits. Votre hébergeur doit vous donner accès à une connexion SSH.

Avec un script qui fait du pseudo-ssh en PHP, mettez le fichier dans le dossier « www » ou « public_html » et commencez le travail.

IX- Changer tous les droits par FTP de tous les fichiers et dossiers peut être long et fastidieux avec le risque d’en oublier. J’utilise les lignes de commandes ci-dessous pour changer les droits rapidement par SSH.

X- Connectez-vous en SSH à votre compte, puis placez-vous dans le dossier « www » (ou public_html ») en entrant la commande cd www , et entrez les commandes suivantes en une seule ligne (après avoir modifié les noms des fichiers et dossiers selon les besoins):

En mode SSH, mettez-vous dans le dossier « www » ou « public_html » avant de commencer.

Un dernier conseil, tachez de rester au courant le maximum possible des dernières astuces de sécurité et ce, en visitant les blogs ainsi que les sites-web spécialisés.

 

Add a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *