Directives de sécurité de base pour le serveur d’hébergement partagé

• Assurez-vous que votre ordinateur local est sûr. Pour ce faire, utilisez un logiciel antivirus fiable et à jour tel que:
  • Norton Internet Security, qui offre antivirus, antispyware, pare-feu bidirectionnel, antiphishing, etc.
    ou
  • Bitdefender Antivirus Plus, qui est le logiciel antivirus d’entrée de gamme de Bitdefender, le rendant idéal pour les particuliers sans compétences techniques et tout le monde qui veut une défense de base contre les menaces. Parce que les virus ne sont pas les seuls risques pour la cybersécurité, Antivirus Plus offre un éventail de fonctionnalités axées sur la sécurité, y compris la prévention des ransomwares, la surveillance des achats en ligne et des transactions sur le Web, et la gestion des mots de passe qui permet aux utilisateurs de créer des mots de passe uniques pour tout, le tout géré via un tableau de bord facile à utiliser.
• Vérifie si toutes vos applications web sont à jour. Ceci inclut tous les modules, composants que vous avez ajoutés et/ou intégrés;
• Assurez-vous d’utiliser des greffons téléchargés depuis des sources officielles. Les fichiers téléchargés à partir de sources non officielles sont souvent modifiés pour inclure du code supplémentaire, notamment des portes dérobées que des attaquants peuvent utiliser et infecter un site web.

• Sélectionne les mots de passe forts pour le compte principal, MySQL, FTP et les utilisateurs de messagerie. N’utilisez jamais les mêmes mots de passe pour différents utilisateurs. Par exemple, un utilisateur MySQL ne devrait pas avoir le même mot de passe que votre utilisateur FTP;

• Évitez d’avoir des répertoires avec des permissions supérieures à 755. Si vos applications nécessitent de tels répertoires, essayez de les placer en dehors de votre racine web (public_html) ou placez-y un fichier .htaccess contenant « Deny from all » pour restreindre l’accès public à ces fichiers.

• Modifiez vos paramètres PHP locaux pour une meilleure sécurité. Cela peut être fait en désactivant les fonctions et options inutiles. Voici quelques exemples de directives recommandées:

 allow_url_fopen=désactivé

disable_functions = proc_open , popen, disk_free_space, set_time_limit, fuite, tmpfile, exec, système, shell_exec, passthru 

Notez que les directives ci-dessus peuvent paralyser les fonctionnalités de votre code. Ils doivent être collés dans un fichier php.ini dans chaque répertoire où vous voulez qu’ils soient appliqués.

• Empêche perl et d’autres robots d’accéder à votre site. Ceci peut être fait facilement avec les règles suivantes dans votre .htaccess:

 SetEnvIfNoCase User-Agent libwww-perl bad_bots
ordre refuser,autoriser
refuser à partir de env=bad_bots 

• Si vous n’utilisez pas de scripts Perl, ajoutez un gestionnaire de faux pour ces fichiers. Dans votre répertoire personnel, créez un fichier .htaccess avec le contenu suivant:

 ##Interdire l’accès à tous les fichiers CGI, Perl, Python et texte

Tout refuser

##Si vous utilisez un fichier robots.txt, veuillez supprimer le
# signez à partir des 3 lignes suivantes pour autoriser l'accès uniquement au fichier robots.txt:
#
#Autoriser pour tous
# 

Ce qui précède empêchera l’exécution des scripts Perl. De nombreux exploits/portes dérobées sont écrits en Perl et ce qui précède les empêchera de fonctionner. Cette directive s’appliquera à tous vos sous-répertoires.

IMPORTANT: une fois que votre compte a été compromis, il est très probable que l’intrus laisse une porte dérobée pour y accéder facilement plus tard. C’est pourquoi il se peut que corriger votre code vulnérable ne soit pas suffisant. Trouver les portes dérobées sera long et coûteux (nécessitant un développeur professionnel). C’est pourquoi vous préférerez peut-être repartir de zéro pour votre site.