Comment sécuriser son site et espace d’hébergement
En tant que détenteur d’une offre d’hébergement, il est très important de prendre les précautions nécessaires afin d’empêcher des intrusions de hackers ou l’utilisation de scripts nocifs qui pourraient non seulement permettre à un autre groupe d’individus de se connecter à votre compte et de modifier/télécharger/supprimer vos fichiers, mais aussi d’utiliser les ressources du serveur à des fins illégales (par exemple: envoi de spam).
Il est important de comprendre qu’en tant que titulaire d’un compte d’hébergement, vous êtes ultimement responsable du contenu de votre compte. Il nous est impossible d’inspecter chaque fichier et chaque script envoyé sur nos serveurs afin d’en garantir la sécurité, et la responsabilité vous revient donc de bien faire votre recherche afin de vous assurez que tout script installé (surtout les scripts PHP et Perl) est:
- Sécurisé, c’est-à-dire qu’il n’a pas de failles de sécurité documentées sur l’Internet (une recherche Google incluant le nom de votre logiciel et le mot “vulnerability” pourrait vous aider à ce sujet).
- Mis à jour. Il est important de toujours installer les versions les plus récentes des logiciels afin de bien avoir les corrections pour fermer les trous de sécurité dès que ceux-ci sont détectés. Les anciennes versions de certains logiciels sont souvent exploitables par des hackers à travers des trous de sécurités bien connus.
- Bien protégé par un mot de passe sécurisé. Il vous est fortement recommandé d’utiliser un mot de passe avec plus de 8 caractères, contenant des chiffres et des lettres, de ne pas utiliser le même mot de passe avec plusieurs services différents, et de changer les mots de passe tous les 3 mois.
Il faut bien insister sur ce dernier point. Un mot de passe non-sécurisé est la source de plus de 50% des intrusions de comptes, donc il est très important d’utiliser un mot de passe très robuste, surtout pour votre accès cPanel et vos bases de données.
D’autres astuces:
- Ne pas installer de scripts non-vérifiés par des professionnels, ou créés par des “amis ayant appris le PHP la semaine dernière”. La programmation de scripts est chose facile à apprendre, mais difficile à maîtriser. Il est fort probable qu’un novice ayant créé un script n’ait pas pris toutes les mesures nécessaires afin de garantir sa sécurité.
- Toujours supprimer les répertoires d’installation de logiciels après leur installation, et ne pas laisser les fichiers avec des permissions 777 (ces fichiers peuvent être modifiés par toute personne ayant accès au serveur).
- Ne pas afficher la liste de fichiers dans un répertoire sur votre compte d’hébergement (peut être désactivé via l’option à cet effet dans le cPanel).
- Faire particulièrement attention avec les logiciels Joomla, Mambo, et phpBB, qui ont tous des failles de sécurité importantes dans leurs anciennes versions. Il faut donc régulièrement les mettre à jour.
- Faites des sauvegardes régulières de votre site web après chaque changement majeur. Si vous êtes hackés, vous pourrez perdre des semaines, voire des mois de travail. Il est indispensable que vous ayez une copie locale (sur votre ordinateur) de tous les fichiers et bases MySQL stockés sur le serveur.
- Ne jamais dévoiler votre mot de passe de votre compte d’hébergement, et ne jamais l’envoyer par email.