Sécurisation: gros chantier en cours


sécurisation des sitesNous procédons en ce moment à une augmentation des mesures de sécurisation des sites que nous gérons. Jusqu’à cette semaine, chaque client était responsable de la sécurisation de son hébergement.

Mais surveiller et parer les attaques mobilise trop de ressources, autant en ressources humaines que horaires coté ASIP en raison d’un laissé aller de la part de certains clients. Aussi il a été décidé de renforcer la sécurité de chaque site, au prix, parfois, de quelques contraintes:

  • Sont désormais interdits les identifiants connus, tels que « admin » ou « administrateur ». Cette mesure permet de lutter contre les attaques de bruteforce, les pirates ciblant généralement l’utilisateur « admin ». Celui-ci n’existant plus, l’attaque sera sans effet.
  • Pour les sites utilisant des scripts (soit la majorité des sites), nous installons, au niveau du serveur Apache, les excellentes protection de « Perishable Press« . Il s’agit de règles dans le fichier .htaccess qui interdisent certains accès douteux.
  • Pour les bases de données de WordPress et des principaux CMS, lorsque cela est possible, les tables SQL sont préfixées au hasard. Cette mesure limite les injections SQL, car les pirates ciblent les tables dont les noms sont connus.

Pour ceux qui utilisent WordPress sur des sites non gérés par ASIP, vous pouvez installer le plugin « All In One Security & Firewall » qui facilite la mise en place de ces protections, et en apporte d’autres, tels que la déconnexion après inactivité, la détection du bruteforce, la sauvegarde de la base de données, etc…
Attention cependant, la version actuelle (4.0.8) contient quelques bugs (qu’ASIP a signalé aux développeurs). En particulier dans votre fichier « wp-config.php », il faut remplacer « localhost:3306 » par « localhost » seul dans la variable DB_HOST. L’autre bug concerne l’alerte sur les permissions de fichiers. ASIP utilise un mode 0710, Le plugin conseille 0755 sans se rendre compte que notre protection est meilleure. Ce n’est qu’une erreur cosmétique, contactez ASIP si vous souhaitez un correctif.

En parallèle, la migration des sites de HTTP vers HTTPS se poursuit.