Support Aide en ligne (FAQ) Technique Sécurité Quelles sont vos recommandations relatives à la sécurité ?
Quelles sont vos recommandations relatives à la sécurité ?
Un site Web accessible au public offre un certain nombre de vulnérabilités potentielles qui peuvent être mal utilisées pour propager des logiciels malveillants ou des spams.
Afin de minimiser les risques, nous vous prions de suivre nos recommandations de sécurité :
1. Mots de passe
Utilisez le générateur de mots de passe de Plesk pour les mots de passe (accès administrateur, FTP, bases de données, Plesk, etc...) ou créez un mot de passe selon les directives suivantes :
Le mot de passe généré contiendra les éléments suivants :
- La longueur sera de 8 (de préférence 10 ou plus) signes différents, au minimum.
- Il comportera au minimum 2 lettres
- Il comportera au minimum 2 chiffres ou autre signes spéciaux
- Il ne comportera aucune systématique reconnaissable, c'est-à-dire qu'elle apparaît comme une chaîne générée aléatoirement
- Il ne sera connu que du titulaire
- Il sera modifié régulièrement
- ne sera pas utilisé pour d'autres applications
2. Applications web
- De nombreuses applications Web utilise un nom standard pour l'administrateur de l'application. Il est recommandé de le changer avant la mise en production du site.
- Assurez-vous de toujours utiliser la version la plus récente de l'application et installer toutes les mises à jour.
- N'installez que les modules et composants nécessaires. Chaque module supplémentaire augmente les risques d'attaques.
- Supprimez toutes les applications, plugin, addons ou thèmes inutiles du serveur (ne pas seulement les désactiver). Ils pourraient encore contenir des failles de sécurité.
3. Serveurs web
- Pour la prise en charge de PHP, utilisez FastCGI ou PHP-FPM, afin que PHP soit exécuté sous l'utilisateur FTP
- Configurez les droits des fichiers de configuration sans exception en 600
- Empêchez les accès web à des scripts de sécurité via .htaccess (Deny from all)
- Empêchez les accès web non privilégiés des zones non publics par une protection avec mot de passe
4. Serveurs FTP
- Connectez-vous exclusivement par liaison cryptée au serveur FTP : Connexion FTP explicite sur TLS (FTPES)
→ FAQ: Comment puis-je copier mes données par FTP ou FTPES sur mon serveur ? - Utilisez un mot de passe complexe pour l'accès FTP. Voir la partie "Mots de passes"
5. Serveurs de base de données
- Évitez les noms de bases de données standards tels que wordpress, typo3, gallery, etc.
- Changez à l'installation les préfixes de tables de bases de données prédéfinis et les chemins des dossiers. Les attaques automatiques (Scanner de failles) fonctionnent à l'aveugle.
6. Serveur de messagerie
- Connectez-vous seulement chiffré à la boîte de réception ainsi que le serveur sortant.
SMTP sur SSL = port 465 ou port 587 (envoi)
POP3 sur SSL = port 995
IMAP sur SSL = port 993
Support Aide en ligne (FAQ) Technique Sécurité Quelles sont vos recommandations relatives à la sécurité ?