Infomaniak signale une "Vague d’email frauduleux" !
11/11/2024

Bandeau
SpipFactory
.fr .com .org

C’est une plateforme d’hébergement autogéré en association de loi 1901
Propulsée par la mutualisation de Spip sous Habillage Escal

Sécurisation & Sécurité
Article mis en ligne le 11 août 2019
dernière modification le 26 août 2024

Conséquences de l’incendie d’OVH

La plateforme SpipFactory.fr est hébergée chez Infomaniak.com, en Suisse.

Quelles sont les mesures prises par notre hébergeur Infomaniak pour protéger nos sites ?

En ce qui concerne plus précisément nos sites,
voici le paragraphe qui nous concerne.

Données à double (x2) : services managés
avec sauvegarde intégrée

L’immense majorité de nos services sont managés, comme l’Hébergement Web ou l’Hébergement Cloud managé. Ces derniers n’ont pas de redondance intégrée mais sont systématiquement sauvegardés (backup) dans un autre datacenter. Vos données se trouvent donc sur deux supports, dans deux datacenters.

Pour parfaire ce système, nous avons programmé une sauvegarde quotidienne à laquelle vous pouvez accéder par FTP :
../votre_site/squelettes/backup/

Rappel de notre politique de sauvegarde

Sécurisation

Les sites web sont par nature des éléments très exposés du système d’information. Leur sécurisation revêt une grande importance, et ce à plusieurs titres.
Cela exige de la vigilance dans tous les aspects de sa conception et de son utilisation.

Le logiciel SPIP est déjà réputé pour sa sécurité, mais l’écran de sécurité ne fait pas tout…

Il faudra réaliser le suivi des Mises à Jour, ces Mises à Jour concerneront le core, mais aussi l’écran de sécurité sans oublier de Mettre à Jour les plugins !

Qu’est-ce que la sécurité ?

Les risques par ordre de priorité :

  • Problème entraînant une perte des données ;
  • Accès de la partie privée a des personnes non autorisées ;
  • Introduction de code parasite dans les forums (d’effaçage, redirection)
  • Détournement/Abus des ressources du serveur.
    Ex : détournement des formulaires de contact pour spammer, dénis de service

On fait comment ?

https:/

Le protocole https:// devient de plus en plus courant :

  • C’est mieux pour la vie privée de tous
  • La plupart des grands sites l’a déjà adopté
  • Certains navigateurs commencent à afficher les sites en http:// avec un logo « non sécurisé »
  • C’est un avantage pour le référencement

MàJ

Une tache périodique tous les 31 du Mois pour la mise à jour :

  • Spip
  • Plugins

Cross-Site Scripting

Protection des forums contre les attaques de type cross-site scripting

Le cross-site scripting (abrégé XSS) est un type de faille de sécurité des sites web permettant d’injecter du contenu dans une page, provoquant ainsi des actions sur les navigateurs web visitant la page. Les possibilités sont très larges puisque l’attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash…) et de nouvelles possibilités sont régulièrement découvertes notamment avec l’arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l’hameçonnage ou encore de voler la session en récupérant les cookies.

Courriels

Remplacement des liens de courriels dans vos textes par un lien javascript afin d’éviter que des robots spammeurs ne collectent les courriels affichés sur votre site. La modification est transparente sur un navigateur disposant de javascript. Lorsque javascript n’est pas installé, le courriel reste compréhensible par un être humain.

Spams

Halte au spam ! Filtrez les spams dans les messages, sans nuisance pour les utilisateurs honnêtes.

Mot de Passe

Des études montrent qu’utiliser un nombre de caractères réduit permet à un attaquant bien équipé de découvrir un mot de passe de 5 caractères (minimum SPIP), par pure force brute en un maximum d’une heure et demie.

Il est pourtant facile d’utiliser des combinaisons de chiffres, lettres et caractères spéciaux pour rendre la tâche bien plus complexe aux attaquants. Le problème, c’est de savoir quand on a un mot de passe assez fort et de l’indiquer aux utilisateurs qui s’enregistrent sur votre site.

Ce plugin offre un affichage graphique en dessous des formulaires de spécification et changement de mot de passe de SPIP qui donne une indication de la “force” d’un mot de passe en le classant dans 4 catégories : faible, moyen, fort, très fort

Attention :
Le plugin ne force jamais l’utilisateur à utiliser un certain mot de passe, mais donne juste une indication de sa force.

Scanners

Détection et bannissement des scanners de vulnérabilités

Les scanners de vulnérabilité de site web sont des logiciels qui analysent les pages d’un site web (crawling), puis effectuent des requêtes HTTP en ajoutant des codes malicieux dans l’URL (ainsi que dans les variables POST, etc.) et analysent le contenu de la page obtenue pour détecter si le code malicieux a été filtré ou non.

L’utilisation de scanners est intéressante dans le cadre de l’audit de sécurité d’un site (à noter que l’usage non autorisé d’un de ces logiciels sur un site est susceptible de relever de l’article 323 du code pénal).

En revanche, ces scanners de vulnérabilité sont dangereux lorsque ce sont des pirates qui les utilisent.

Par ailleurs, certains scanners sollicitent fortement le serveur (exemple : 2 millions de requêtes en 15 heures de scan). Enfin, les variations d’URL, effectuées par les scanners de vulnérabilité, remplissent inutilement le cache de SPIP (exemple : 59 900 fichiers ajoutés dans le cache de second niveau SPIP au bout d’une heure de scan).

Les objectifs de ce plugin sont les suivants :

  • ne pas donner les véritables pages au scanner de vulnérabilité, afin de l’empêcher de conduire ses recherches de vulnérabilité ;
  • réduire le temps de traitement des pages demandées par le scanner de vulnérabilité (une fois détecté) ;
  • diminuer l’impact, sur le cache de SPIP, des variations d’URL envoyées par le scanner de vulnérabilité.

Le bannissement est temporaire, afin de limiter l’impact d’éventuels faux positifs. Une réponse compréhensible avec un décompte de temps est affichée en cas de bannissement.

Le périmètre porte sur le site public uniquement. Le périmètre ne porte pas sur les attaques de type spam (un plugin pour SPIP existe déjà sur ce sujet), ni sur les attaques de type déni de service ou déni de service distribué.

Referer Spam

Exclusion des liens entrants frauduleux des statistiques à l’aide d’une liste noire.

Le referer spam est une technique de référencement abusif, qui consiste à envoyer des requêtes automatiques vers un site en utilisant comme adresse de référent l’adresse d’un site à promouvoir.
Lorsque les sites visés publient la liste des sites qui leur ont envoyé des requêtes, ils publicisent involontairement les sites que le fraudeur voulait promouvoir. Lorsque les moteurs de recherche parcourent ces listes, ils améliorent le positionnement des sites promus dans les résultats de leurs recherches en fonction du nombre de liens vers ces sites, car ils ne peuvent savoir que les liens proviennent de requêtes automatiques.

Il arrive que ce type de spam mette hors ligne le site qu’il vise. En effet, certains sites reçoivent des milliers de requêtes en même temps lors de ce genre d’attaque ce qui a pour effet de rendre inaccessible leur site.
Le meilleur moyen pour se protéger de ce genre d’attaque est de récupérer les logs de l’attaque, d’isoler les sites référents et de les bannir.

vous pouvez via votre site, de notre côté nous avons une liste pour l’ensemble des hébergés

## BLOQUER LE SPAM REFERRER
RewriteCond %{HTTP_REFERER} semalt.com [NC, OR]
RewriteCond %{HTTP_REFERER} buttons-for-website.com [NC, OR]
RewriteCond %{HTTP_REFERER} seoanalyses.com [NC]
RewriteCond %{HTTP_REFERER} ^([^.]+.)*?\.best [NC, OR]
RewriteCond %{HTTP_REFERER} 4webmasters\.org [NC]
RewriteCond %{HTTP_REFERER} poker|pills|pharmacy|texas|doctor|casino|blackjack|marketplace|viagra
RewriteRule.* – [F]

Tracer actions

L’objectif est de garder une trace, pendant une période déterminée, de qui a effectué quelles actions sur le contenu du site et quand, afin d’avoir un retour un peu plus pertinent sur les connexions et lectures des personnes ayant un compte.

En effet, dans certaines situations, il peut être pratique (voire important) d’avoir un retour du type : « qui lit quoi et combien de temps ». Il est intéressant de savoir combien de temps, tel ou tel cours a été lu et par qui, ou encore le temps de lecture moyen d’un article précis, etc.

Évidemment, comme toute collecte de statistiques, ce n’est jamais précis à 100 % et c’est plus pour donner des tendances que des résultats à la seconde près.

Par ailleurs, on permet aux administrateurs du site de suivre certaines actions :

  • Publier, Dépublier un article
  • Mettre un article à la poubelle
  • Déplacer un article publié dans une autre rubrique
  • Modifier un article publié
  • Ajouter (ou remplacer) un document ou une image
  • Délier un document ou une image (par exemple retirer un document d’un article)
  • Supprimer (physiquement) un document ou une image
  • Modifier une rubrique publiée
  • Déposer, supprimer un commentaire (sur le site public)
  • Marquer comme spam un commentaire (du site public)
  • Modifier le statut d’un auteur
  • Modifier l’email d’un auteur

Remarque : Comme il n’y a pas de pipeline dans les fonctions de SPIP, pour tracer les actions suivantes, elles ne sont pas prises en compte :

  • Publier une rubrique, déplacer une rubrique, supprimer une rubrique
  • Activer/désactiver le suivi des révisions
  • Modifier la modération des forums publics de l’article N
  • Publier / dépublier un site référencé.

Toutes les traces d’une action sont conservées pendant un an. Ces traces sont classées par date décroissante. Le numéro d’auteur est cliquable, l’action est cliquable.

Bien entendu, ne vous préoccupez de rien, concentrez-vous sur le contenu de votre site…


Soutenir par un don