Hébergement WordPress sécurisé : Verrouillage total !

Publié: 2017-03-15

L'hébergement WordPress sécurisé est un terme qui est beaucoup utilisé ces jours-ci. Mais qu'est-ce que ça veut dire exactement? Qu'est-ce qu'une solution d'hébergement d'entreprise offre en termes de sécurité, que l'hébergement standard n'offre pas ? Nous approfondirons ces questions et identifierons les principes de conception des environnements d'hébergement sécurisés. Armé de ces informations, vous serez en mesure de faire une supposition éclairée lors de la recherche de solutions d'hébergement pour votre entreprise !

Hébergement standard vs sécurité d'hébergement d'entreprise

L'hébergement régulier est un peu comme le Far West. Votre site Web est hébergé sur une machine, exécutant une version d'un logiciel de panneau Web, autorisant les connexions SSH, puis tout se passe.

L'environnement d'hébergement n'est généralement pas verrouillé, ce qui permet à un attaquant réussi d'avoir accès à tous les fichiers du système, y compris ceux liés au client. Cela signifie que si un attaquant accède à un site Web hébergé sur le même serveur que le vôtre, il a de très grandes chances d'avoir également accès à vos propres fichiers.

La sécurité d'un système est aussi forte que son maillon le plus faible. Dans un environnement d'hébergement partagé, vous êtes aussi sécurisé que le site Web le moins sécurisé hébergé dans ce système.

Qu'est-ce qu'un environnement d'hébergement sécurisé ?

Les environnements d'hébergement sécurisés modernes doivent respecter les points de conception suivants :

  1. Filtrage : le trafic doit être filtré pour les requêtes « anormales » et les signatures d'attaques à distance. Les données doivent être épurées.
  2. Contrôle d'accès précis : les autorisations et les contrôles d'accès doivent être superposés, sans privilèges supplémentaires inutiles.
  3. Isolation de processus : un processus (exécutant une application ou un système) ne peut pas altérer ou modifier l'intégrité d'un autre.
  4. Ne faites pas confiance à tout ce que le client vous envoie : traitez toutes les demandes entrantes de manière suspecte par défaut.
  5. Environnement dépouillé et de première nécessité : les logiciels installés inutilement sont généralement un point faible. Tous les logiciels installés dans un environnement doivent avoir une raison précise d'être là.

De plus, dans les architectures n-tiers à haute disponibilité, la conception de la sécurité est différente. Chaque niveau est provisionné séparément, avec différents mécanismes et politiques de sécurité en place. Lorsqu'un attaquant prend le contrôle d'un serveur Web, il ne peut plus accéder aux autres niveaux, par exemple la base de données. En bref : la compromission d'une machine ne compromet pas la sécurité de l'ensemble du système.

Hébergement WordPress sécurisé de Pressidium

Nous n'avons pas besoin d'en dire beaucoup. Nous prenons la sécurité très au sérieux. Notre plate-forme implémente des mécanismes de sécurité à travers de nombreuses couches différentes. Nous nous efforçons de promouvoir les meilleures pratiques de sécurité WordPress qui existent aujourd'hui. Voyons ce qu'il y a sous le capot !

PHP restreint

Nos serveurs Web exécutent une version verrouillée de PHP qui ne peut exécuter que des fonctions liées à WordPress et rien d'autre.

Installation provisionnée de WordPress

L'installation WordPress de votre site ne peut pas être modifiée (même par vous) et est constamment vérifiée par la Plateforme. Le compilateur PHP s'exécute dans l'espace utilisateur, sous la prison chroot d'un utilisateur spécifique. Cela signifie que même si un attaquant malveillant obtient un accès superutilisateur sur un site, il n'accèdera qu'aux fichiers liés à ce site, et non aux vôtres ou à ceux du système.

Environnements chrootés (emprisonnés)

Tout ce qui s'exécute sur notre plate-forme est superposé à différents niveaux d'environnement restreint (chroot). Un environnement chroot restreint le système de fichiers d'un processus en cours d'exécution en modifiant l'emplacement du répertoire racine. Rien ne peut alors modifier les fichiers en dehors de ce répertoire racine. Chaque processus est dans son propre silo et ne peut pas "voir" ou "toucher" quoi que ce soit en dehors de cela (cela signifie aussi vos fichiers). Notre plate-forme implémente trois niveaux différents d'environnements chroot :

  • par Site
  • par utilisateur
  • par processus

Couche de mise à jour WordPress

Nos mises à jour de sécurité WordPress garantissent que vous serez toujours à jour avec la version la plus stable de WordPress qui soit. Nous mettons à jour les plugins et les thèmes en fonction des besoins, et uniquement si une menace de sécurité apparaît. Nous ne mettons pas non plus à jour les logiciels au hasard ou sans préavis. Tout est coordonné avec vous personnellement.

Hébergez votre site web avec Pressidium

GARANTIE DE REMBOURSEMENT DE 60 JOURS

VOIR NOS FORFAITS

Couche de patch virtuelle

Si vous devez absolument conserver des plugins anciens et obsolètes, même s'ils sont connus pour être vulnérables, vous pouvez utiliser notre mécanisme de patching virtuel de notre pare-feu applicatif Web WAF. Ce mécanisme intercepte les attaques provenant de vulnérabilités connues. Ainsi, les plugins obsolètes et vulnérables peuvent continuer à fonctionner comme prévu sans poser de risques de sécurité.

Filtrage OWASP

Notre pare-feu d'application Web est conçu en suivant le modèle de pare-feu de sécurité Varnish. Grâce aux règles et filtres OWASP , le pare-feu empêche les attaquants d'accéder aux points faibles de votre site. De plus, si un attaquant initie plusieurs connexions comme dans une attaque par déni de service, l'adresse IP attaquante sera limitée. Si une attaque persiste, nous appliquons un blocage au niveau géographique, voire sur des pays entiers lorsque cela est nécessaire.

Analyse des logiciels malveillants et des vulnérabilités

Nous utilisons des ressources telles que la base de données nationale des vulnérabilités du NIST pour analyser toutes les données que nous conservons à la recherche de logiciels malveillants, d'exploits et de problèmes de sécurité connus. Nous hébergeons une base de données spécifique qui contient des signatures de données qui aident à détecter une attaque entrante.

Interdiction des attaques par force brute

Si un attaquant essaie à plusieurs reprises de tester les informations d'identification, notre plate-forme détecte ces attaques et interdit l'adresse IP sur la couche de pare-feu.

La sécurité WordPress est notre vision

Nous pensons que la sécurité de WordPress est importante, et comme c'est le cas avec la plupart des choses importantes, il faut un sérieux effort pour le faire correctement. C'est pourquoi nous avons intégré le provisionnement, la vérification de l'intégrité et le filtrage au cœur de notre plate-forme. Notre vision d'un écosystème WordPress sécurisé est vaste et nous partagerons plus de détails avec le monde en temps voulu. Mais pour l'instant, nous devons faire attention aux petites choses du quotidien qui rendent votre entreprise WordPress plus robuste et moins pénible !