Piratage

De PHPNET - Wiki
Aller à : navigation, rechercher

Les sites web sont continuellement la cible de tentatives de piratage.
Les pirates cherchent à exploiter des failles de sécurité présentes dans vos applications PHP principalement pour effectuer un envoi de SPAM, mais ce peut-être pour du phishing ou simplement "la gloire".

Conseils préventifs

Appliquer ces recommandations permettra de réduire les risques de piratages.

  • Effectuez des sauvegardes régulières de votre site web (fichiers et bases de données).
  • Ne pas héberger de sites abandonnés, ou de fichiers douteux.
  • Changez régulièrement les mots de passe FTP et ceux de vos bases de données.
  • Utiliser des mots de passe fort : ils doivent être constitués de 8 caractères minimum, mélangeant des lettres minuscules, des majuscules, des chiffres, et des caractères spéciaux.
  • Consultez régulièrement les logs d'accès et les log d'erreur de votre hébergement . Il se trouvent dans le répertoire logs à la racine de votre hébergement.

Conseils curatifs

Voici ce que vous pouvez faire si votre site a été piraté :

  1. Modifier votre mot de passe FTP
  2. Changer le mot de passe de la bases de données utilisé par le site
  3. Supprimer le site web piraté de votre hébergement
  4. Restaurer une sauvegarde saine du site web
  5. Mettre à jour le code de votre site et de ses composants

En plus nous vous conseillons de :

  1. Vérifier, à la main, si des fichiers ont été déposés à votre insu dans votre hébergement et les supprimer
  2. Réaliser un scan antivirus de votre ordinateur
  3. Scanner votre site avec un outil comme aeSecure : https://www.aesecure.com/fr/
  4. Améliorer le contrôle d'accès aux ressources hébergées en utilisant des fichiers .htaccess

CMS

Les CMS, que ce soit Wordpress, Joomla, Drupal, MadeSimple, SPIP, Prestashop ou OScommerce, doivent toujours être maintenus à jour . En effet, le code PHP de vos applications est la seule vulnérabilité de votre serveur.
Ne pas faire les mises à jours augmente de 90% le risque de piratage . Vous devez également veiller à ne pas utiliser de composants mal sécurisés, ou dépassés (à l'abandon par ses développeurs) .

Wordpress

Étant très populaire, Wordpress est malgré lui le plus ciblé par les pirates. Cependant, il est très simple d'éviter cela en suivant ces simples règles :

  1. Maintenir à jour Wordpress à sa version la plus récente
  2. Mettre à jour tous ses plugins
  3. Mettre à jour tous ses thèmes
  4. Supprimer les thèmes et les modules non utilisés

Liens utiles

Joomla

Liens utiles

Prestashop

Liens utiles

Les cas les plus courants de failles de sécurité

  • Faille de sécurité de votre site web : Les scripts utilisés présentent des failles de sécurités connus
  • Mot de passe non sécurisé : Mot de passe trop court, ou trop facile à deviner ou à cracker
  • Faille dans votre PC : un virus / malware a permis à des pirates d'obtenir vos mots de passe