Quelles sont vos recommandations relatives à la sécurité ?

Un site Web accessible au public offre un certain nombre de vulnérabilités potentielles qui peuvent être mal utilisées pour propager des logiciels malveillants ou des spams.

Afin de minimiser les risques, nous vous prions de suivre nos recommandations de sécurité :

Utiliser des mots de passe complexes
Garder vos applications à jour
Empêcher les accès aux fichiers de sécurité
Se connecter exclusivement par liaison chiffrée au serveur FTP
Éviter les paramètres par défaut
Connectez-vous seulement chiffré à la messagerie

1. Mots de passe

Utilisez le générateur de mots de passe de Plesk pour les mots de passe (accès administrateur, FTP, bases de données, Plesk, etc...) ou créez un mot de passe selon les directives suivantes :

Le mot de passe généré contiendra les éléments suivants :

La longueur sera de 8 (de préférence 10 ou plus) signes différents, au minimum.
Il comportera au minimum 2 lettres
Il comportera au minimum 2 chiffres ou autre signes spéciaux
Il ne comportera aucune systématique reconnaissable, c'est-à-dire qu'elle apparaît comme une chaîne générée aléatoirement
Il ne sera connu que du titulaire
Il sera modifié régulièrement
ne sera pas utilisé pour d'autres applications

2. Applications web

De nombreuses applications Web utilise un nom standard pour l'administrateur de l'application. Il est recommandé de le changer avant la mise en production du site.
Assurez-vous de toujours utiliser la version la plus récente de l'application et installer toutes les mises à jour.
N'installez que les modules et composants nécessaires. Chaque module supplémentaire augmente les risques d'attaques.
Supprimez toutes les applications, plugin, addons ou thèmes inutiles du serveur (ne pas seulement les désactiver). Ils pourraient encore contenir des failles de sécurité.

3. Serveurs web

Pour la prise en charge de PHP, utilisez FastCGI ou PHP-FPM, afin que PHP soit exécuté sous l'utilisateur FTP
Configurez les droits des fichiers de configuration sans exception en 600

Empêchez les accès web à des scripts de sécurité via .htaccess (Deny from all)
Empêchez les accès web non privilégiés des zones non publics par une protection avec mot de passe

4. Serveurs FTP

Connectez-vous exclusivement par liaison cryptée au serveur FTP : Connexion FTP explicite sur TLS (FTPES)
→ FAQ: Comment puis-je copier mes données par FTP ou FTPES sur mon serveur ?
Utilisez un mot de passe complexe pour l'accès FTP. Voir la partie "Mots de passes"

5. Serveurs de base de données

Évitez les noms de bases de données standards tels que wordpress, typo3, gallery, etc.
Changez à l'installation les préfixes de tables de bases de données prédéfinis et les chemins des dossiers. Les attaques automatiques (Scanner de failles) fonctionnent à l'aveugle.

6. Serveur de messagerie

Connectez-vous seulement chiffré à la boîte de réception ainsi que le serveur sortant.

SMTP sur SSL = port 465 ou port 587 (envoi)
POP3 sur SSL = port 995
IMAP sur SSL = port 993

La réponse à vos questions