Éviter un piratage de site Web

Ce guide explique comment prévenir les attaques informatiques et comment éviter un piratage du site Web que vous gérez.

Le rôle de l'hébergeur

Le travail d'Infomaniak consiste à fournir un hébergement de qualité donc il est primordial de répondre extrêmement vite aux attaques diverses et variées dont tout acteur Internet peut être l'objet. Infomaniak fait donc tout son possible pour prendre le maximum de précautions contre le hacking, notamment en tenant à jour les différentes versions des technologies utilisées.

Dans le cas d'un piratage avéré, s'il est possible de remonter jusqu'à l'auteur et que la machine a été compromise en raison d'un défaut de sécurité du ressort d'Infomaniak, que l'intégrité des serveurs est en cause, Infomaniak prend les choses en main elle-même.

Le rôle du détenteur de site et du webmaster

Si le piratage de votre site est de votre responsabilité (un script qui n'est pas à jour, un patch de sécurité qui n'a pas été appliqué, etc.) Infomaniak vous contacte afin de vous avertir d'un problème qu'il faudra résoudre rapidement. Certains organismes comme Saferinternet peuvent en outre suspendre le nom de domaine en amont ce qui désactivera le site mais également la messagerie.

Infomaniak ne peut pas contrer des exploits en rapport avec un bug dans votre code PHP ou autre. Si le piratage n'est pas détecté vous constaterez en général l'intrusion assez rapidement par des éléments suspects dans vos pages ou par la réception de nombreux e-mails d'erreurs.

Il est donc de votre responsabilité de vous occuper de l'évolution de votre site Web au fil du temps et de ne surtout pas le laisser "mourir" dans un coin, quitte à faire appel à un webmaster dont c'est le métier. 

Les recommandations Infomaniak

1. Mettez à jour régulièrement toutes vos applications Web (WordPress, Joomla, Drupal, ownCloud, etc.).
2. Tenez à jour la version PHP de votre site sur les serveurs Infomaniak.
3. Tenez à jour votre site en migrant vers les nouvelles offres lorsque cela vous est proposé.
4. ‍Ajoutez un système de protection sur vos formulaires de contact (captcha, etc.) et sur les éventuels outils de "recommandation aux amis" (tell-a-friend...).
5. Lancez régulièrement une analyse antivirus de l'hébergement.
6. Surveillez l'outil de détection de vulnérabilités.
7. Retirez tout ce que vous n'avez pas développé vous-même et dont l'auteur n'a pas apporté de mise à jour / correction depuis plusieurs mois.
8. Réalisez une sauvegarde régulière de votre site (prenez connaissance de cet autre guide si vous utilisez WordPress) lorsque tout va bien et conservez-la en lieu sûr (car les sauvegardes automatiques ne sont conservées que quelques jours et cela n'est parfois pas assez lointain pour revenir en arrière après que vous constatiez une intrusion).
9. Consultez ibarry.ch.

Si un problème est apparu...

1. Modifiez les mots de passe de vos applications Web, de vos comptes FTP et de vos bases de données en vérifiant préalablement qu'aucun virus ne se trouve sur votre ordinateur.
2. Restaurez une sauvegarde mais mettez à jour immédiatement ce qui peut être mis à jour dès la restauration terminée.