Conseils de sécurité WHM pour un serveur plus sûr

Découvrez comment configurer WHM pour sécuriser votre serveur et protéger votre site Web contre le piratage des vulnérabilités. Conseils pour améliorer la sécurité dans WHM.


Conseils de sécurité WHM

WHM est l’une des plates-formes de gestion des serveurs et des utilisateurs les plus populaires actuellement utilisées. Il est approuvé par d’innombrables webmasters et revendeurs pour simplifier le processus de configuration des serveurs et de gestion des comptes d’utilisateurs. Pour les utilisateurs avec VPS ou des comptes d’hébergement dédiés, vous aurez très probablement accès à WHM. La sécurisation de votre serveur permet d’éviter que la réputation de votre entreprise ne soit affectée par un piratage. WHM contient plusieurs outils qui aident à protéger votre serveur contre les vulnérabilités de piratage.

Astuce 1: Utilisez des mots de passe forts et fréquemment mis à jour

Cela semble être du bon sens, mais on ne peut pas insister assez sur l’importance d’avoir un mot de passe fort pour se connecter à votre serveur. Créez un mot de passe contenant une variété de caractères, notamment des lettres, des chiffres et des symboles. Plus votre mot de passe est long, mieux c’est. Pour mettre à jour votre mot de passe root, recherchez la section «Configuration du serveur» dans la barre latérale gauche de WHM et cliquez sur «Changer le mot de passe root». Utilisez un mot de passe que WHM considère comme «très fort».

Comment changer le mot de passe root dans WHM

La mise à jour fréquente de vos mots de passe est recommandée pour la sécurité du serveur. Vous devez mettre à jour vos mots de passe tous les quelques mois ou même plus fréquemment. N’oubliez pas de toujours utiliser des mots de passe différents pour le reste de vos comptes, tels que votre compte d’hébergement Web, vos comptes FTP ou même vos identifiants de site Web..

Si votre hébergement est fourni avec une base de données installée, vous devez immédiatement mettre à jour le mot de passe de l’utilisateur root de la base de données en une valeur sécurisée. Pour mettre à jour votre mot de passe racine MySQL, recherchez la section «Services MySQL» dans WHM et cliquez sur «Mot de passe racine MySQL». Entrez un mot de passe que WHM considère comme «très fort».

Astuce 2: Gardez WHM et les autres logiciels à jour

WHM contient plusieurs sections qui vous permettent de maintenir à jour les différents composants logiciels de votre serveur.

  1. Configuration du serveur → Préférences de mise à jour. Cette section contient les préférences de mise à jour des services liés à cPanel, des packages de système d’exploitation et de SpamAssassin. Il est conseillé de régler «Release Tier» sur «RELEASE». Cela garantira que des versions stables du logiciel sont installées. Il est également conseillé de régler tous les paramètres suivants sur «Automatique».
  • Mises à jour quotidiennes
  • Mises à jour du package du système d’exploitation
  • Mises à jour des règles Apache SpamAssassin ™ »

La mise à jour automatique de ces services garantira que le logiciel est mis à jour tous les soirs.

Comment maintenir à jour le logiciel WHM

  1. Logiciel → EasyApache (mise à jour Apache) – Cette section contient les préférences de mise à jour d’Apache, de PHP et des composants associés. Les problèmes de sécurité sont souvent résolus dans le logiciel, alors mettez-les à jour si possible. WHM ne fournit pas d’option pour mettre à jour automatiquement ces services, car cela pourrait casser une application créée pour une version spécifique de PHP, etc. Il est conseillé de mettre à jour le logiciel listé le cas échéant..
  1. Logiciel → Mise à niveau MySQL / MariaDB – Cette section vous permet de mettre à jour la version de votre base de données. Comme pour les mises à jour d’EasyApache, les mises à jour de base de données ne sont pas automatiques.

Astuce 3: Activez suPHP et suEXEC

PHP s’exécute sur le serveur à l’aide d’un gestionnaire d’ensemble. Un gestionnaire est le moyen qu’Apache utilise pour communiquer avec PHP. Le gestionnaire suPHP contient plusieurs implémentations de sécurité pour aider à sécuriser votre application. Pour activer suPHP, recherchez la section «Configuration du service» de WHM et cliquez sur «Configurer PHP et suEXEC». Lorsque vous utilisez suPHP, activez également suEXEC. Cela garantit que tous les programmes CGI (y compris PHP utilisant suPHP) sont exécutés en tant qu’utilisateur spécifique.

Comment activer suPHP et suEXEC

En activant le gestionnaire suPHP, les scripts PHP sont exécutés sous un nom d’utilisateur spécifique, plutôt que sous l’utilisateur «personne». Cela signifie que si un script PHP a été exploité, le script ne peut accéder qu’aux fichiers appartenant à cet utilisateur.

Astuce 4: crypter les données téléchargées et désactiver le FTP anonyme

Comment les utilisateurs peuvent-ils transférer des fichiers en toute sécurité vers le serveur du site Web? FTP sans SSL ne crypte pas vos informations de connexion ou les fichiers en cours de transfert. Cela signifie qu’ils pourraient potentiellement être interceptés et que les fichiers pourraient même être modifiés par un pirate. SFTP (FTP sur SSH) et FTPS (FTP sur SSL) sont des méthodes de transfert sécurisées car elles chiffrent les données envoyées au serveur.

Si les utilisateurs de cPanel téléchargent des fichiers sous leurs propres noms de compte (sans créer de comptes FTP), SFTP peut être utilisé pour des téléchargements sécurisés. SFTP est activé par défaut lors de la création d’un compte cPanel. Les utilisateurs devront connaître le numéro de port SSH de votre serveur pour se connecter via SFTP. Par défaut, il s’agit du port 22.

Si les utilisateurs cPanel vont créer des comptes FTP pour télécharger des fichiers, FTPS peut être utilisé pour sécuriser les téléchargements. Étant donné que FTPS utilise SSL pour sécuriser les données transférées vers le serveur, vous devrez ajouter un certificat SSL à FTP pour utiliser FTPS. Suivez ces étapes pour activer FTPS dans WHM.

  1. Dans la section Configuration du service de WHM, cliquez sur «Gérer les certificats SSL de service». Faites défiler jusqu’à «Installer un nouveau certificat».Comment ajouter un certificat SSL à FTP
  2. Cochez la case intitulée «Serveur FTP».
  1. Collez votre certificat SSL et le contenu de votre clé privée dans les zones de saisie respectives. Si vous avez acheté un certificat SSL auprès d’une entreprise tierce, l’entreprise fournira ces informations. Ou si vous souhaitez réduire les coûts, vous pouvez générer un certificat auto-signé. Pour plus d’informations, accédez à l’interface «Générer un certificat SSL et une demande de signature» située dans la section «SSL / TLS» de WHM. Pour les certificats auto-signés, vous devrez également remplir la section «Bundle d’autorité de certification».
  1. Maintenant que le certificat SSL est installé pour FTP, assurez-vous que FTPS est activé sur le serveur. Recherchez la section «Configuration du service» dans WHM et cliquez sur «Configuration du serveur FTP». Assurez-vous que «Prise en charge du cryptage TLS» est défini sur «Facultatif», «Obligatoire (commande)» pour crypter les informations d’identification, ou de préférence «Obligatoire (commande / données)» pour crypter les informations d’identification et les fichiers transférés..
  2. Réglez «Autoriser les connexions anonymes» et «Autoriser les téléchargements anonymes» sur «Non». Le FTP anonyme permet un accès FTP sans mot de passe. Désactivez-le pour des raisons de sécurité.

Vous pouvez maintenant utiliser votre client FTP préféré pour télécharger des fichiers avec FTPS, tant qu’il est pris en charge. Sélectionnez simplement la méthode de transfert FTP avec TLS / SSL dans le client FTP.

Astuce 5: Vérifier les paramètres de Security Center

La section «Centre de sécurité» de WHM fournit divers paramètres qui doivent être revus pour améliorer la sécurité de votre serveur.

  1. Accès au compilateur. Désactivez les compilateurs pour les utilisateurs non privilégiés afin de prévenir les attaques via les vulnérabilités du compilateur.Comment désactiver l'accès au compilateur dans WHM
  2. Détection de force brute cPHulk. Une attaque par force brute est lorsqu’un pirate tente de se connecter à un serveur en entrant séquentiellement diverses combinaisons de mots de passe. Activez cPHulk pour vous protéger contre ces attaques. cPHulk bloque l’adresse IP d’un pirate lorsqu’une attaque par force brute est détectée. Si vous activez également le paramètre cPHulk intitulé «Envoyer une notification lors de la connexion root réussie lorsque l’adresse IP n’est pas sur la liste blanche», vous pouvez être averti par e-mail si un utilisateur non autorisé se connecte à votre compte.Comment activer la protection contre la force brute de cPHulk
  3. Gérer les utilisateurs du groupe de roues. Les utilisateurs de groupes de roues ont la possibilité d’obtenir un accès au serveur superutilisateur, ce qui constitue une menace de sécurité majeure. Pour garantir qu’aucun utilisateur ne dispose d’un accès superutilisateur, supprimez simplement tous les utilisateurs de la liste dans la section intitulée «Supprimer un utilisateur du groupe de roues».
  4. Protection contre les bombes Shell Fork. Activez ce paramètre pour empêcher les connexions de terminal d’utiliser des ressources illimitées. Cela réduit le risque de panne de serveur.
  5. Restrictions SMTP. Activez ce paramètre pour autoriser uniquement les sources fiables à se connecter à un serveur SMTP distant. Cela permet de réduire le risque d’envoi de spam à partir de vos adresses e-mail.
  6. Traceroute Activer / Désactiver. Désactivez ce paramètre pour masquer la topologie du réseau de serveurs. La divulgation de ces informations réseau peut aider au piratage.

Astuce 6: Désactiver l’accès au shell utilisateur

Si les comptes cPanel de votre serveur n’ont pas besoin d’un accès SSH, vous devez désactiver l’accès pour des raisons de sécurité. Notez que les utilisateurs peuvent toujours télécharger des fichiers avec SFTP même avec un accès shell désactivé. Pour désactiver SSH pour tous les utilisateurs actuels, recherchez la section «Fonctions de compte» dans WHM et cliquez sur «Gérer l’accès au shell». Sous «Shell désactivé», cliquez sur «Appliquer à tous».

Comment désactiver l'utilisateur Shell Access

Astuce 7: Tweak Server Settings

Plusieurs options de l’interface «Tweak Settings» doivent être définies correctement afin d’améliorer la sécurité. Recherchez la section «Configuration du serveur» et cliquez sur «Paramètres Tweak». Mettez à jour les paramètres suivants.

Comment modifier les paramètres de sécurité du serveur

  1. Mail → Nombre maximum d’emails horaires par domaine. Vous pouvez envisager de définir un nombre maximal d’e-mails sortants autorisés par heure. Cela permet d’éviter que votre système ne soit potentiellement utilisé pour envoyer des e-mails de spam en masse s’il est piraté. Assurez-vous que la valeur est suffisamment grande pour que votre serveur puisse toujours envoyer des e-mails légitimes sans interruption.
  1. Mail → Empêcher «personne» d’envoyer du courrier → Off. En supposant que vous avez configuré PHP pour utiliser le gestionnaire suPHP, désactivez-le. Cela garantira que seuls les processus exécutés en tant qu’utilisateur spécifique peuvent envoyer des e-mails. Cela fonctionne pour aider à prévenir le spam.
  1. Redirection → Toujours rediriger vers SSL → Activé. Protégez les informations d’identification du serveur en autorisant l’accès aux services liés à cPanel uniquement via une connexion sécurisée.
  1. Sécurité → Contrôle de sécurité du référent vierge → Activé, et Sécurité → Contrôle de sécurité du référent → Activé. En activant ces paramètres, l’accès aux services liés à cPanel n’est accordé que si le navigateur envoie une valeur de référence valide. Cela permet d’éviter un piratage appelé l’attaque CSRF.

Astuce 8: Installez et configurez ModSecurity

ModSecurity est un pare-feu d’application Web qui sert à filtrer les requêtes HTTP, les événements de journal, les applications de correctif (pour éviter les piratages à travers du code mal écrit), et plus encore. ModSecurity peut être installé lors de la création de votre profil avec EasyApache (WHM → Software → EasyApache). Une fois installé, configurez ModSecurity avec un ensemble de règles pour vous défendre contre les hacks. La Fondation OWASP fournit un ensemble de règles de protection gratuit à utiliser. Pour l’ajouter, recherchez la section «Sécurité» dans WHM et cliquez sur «ModSecurity ™ Vendors». Installez ensuite le «jeu de règles de base OWASP ModSecurity». Enfin, cliquez sur «Installer et redémarrer Apache».

Astuce 9: Installez CSF

Sécurité de ConfigServer & Le pare-feu (CSF) fonctionne comme un pare-feu de serveur personnalisable, et il est également utilisé pour la détection d’intrusion, les notifications de connexion et d’autres fonctions de sécurité. Une autre fonctionnalité utile de CSF est son contrôle de sécurité, qui répertorie les modifications de sécurité recommandées en fonction de la configuration actuelle de votre serveur. Il est conseillé d’installer CSF afin d’améliorer la sécurité de votre serveur.

Pour installer CSF, vous devrez vous connecter au serveur via la ligne de commande. Commencez par ouvrir un client SSH (tel que «PuTTY» pour Windows ou «Terminal» pour Mac). Tapez ensuite la commande suivante, en remplaçant «servername.domain.com» par le nom de votre serveur: «ssh [email protected]». Appuyez sur la touche Entrée de votre clavier pour vous connecter. Si vous y êtes invité, passez le message en disant que l’authenticité de l’hôte ne peut pas être établie. Vous serez alors invité à saisir votre mot de passe; utilisez votre mot de passe WHM et appuyez sur Entrée.

Maintenant, exécutez les commandes suivantes pour télécharger et installer CSF. Entrez chaque ligne une par une dans la ligne de commande et appuyez sur la touche Entrée après avoir entré chaque ligne pour l’exécuter:

rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
Sélectionnez le code

C’est si facile! Si vous êtes actuellement connecté à WHM, déconnectez-vous et reconnectez-vous pour mettre à jour l’interface. Recherchez la section «Plugins» de WHM et cliquez sur «ConfigServer Security&Pare-feu”. Sur la page qui apparaît, cliquez sur «Vérifier la sécurité du serveur». CSF répertorie ensuite plusieurs paramètres que vous pouvez modifier pour améliorer la sécurité de votre serveur.

Astuce 10: Installez ClamAV

ClamAV est un logiciel antivirus qui détecte les menaces dans les e-mails. Pour installer ClamAV, recherchez la section «cPanel» dans WHM et cliquez sur «Gérer les plugins». Trouvez le plugin «clamavconnector» et cochez «Installer et garder à jour». Cliquez sur Enregistrer. Maintenant, trouvez la section «Plugins» dans WHM et cliquez sur «ClamAV Connector». Cochez l’option «Scan Mail» et enregistrez.

Astuce 11: Dernier mais pas le moins: Conseiller en sécurité

«Security Advisor» de WHM génère une liste des vulnérabilités potentielles du serveur ainsi que des informations sur la façon de résoudre ces problèmes. «Security Advisor» se trouve dans la section «Security Center» de WHM. Vous devez effectuer cette étape en dernier, car les tâches précédentes supprimeront plusieurs des avis.

Comment installer cPanel Security Advisor

Conclusion

Garder votre serveur sécurisé et à l’abri des pirates est une étape importante pour protéger la réputation de votre entreprise. Les clients des revendeurs seront satisfaits en sachant que la sécurité du serveur de leur site Web est prise au sérieux. En utilisant l’interface utilisateur simple et les outils offerts par WHM pour améliorer la sécurité, votre serveur est beaucoup plus avancé pour rester en sécurité et à l’abri des hacks.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map