Bonjour
Je souhaitais sécuriser un peu plus mon site et avant il y avait un firewall chez OVH : https://docs.ovh.com/fr/hosting/activation-pare-feu-applicatif/#le-mod_security
Impossible à retrouver (je suis très mécontente de ce dashboard absolument pas pensé en terme de UX (User eXperience) : quelqu'un a une idée ?
ou pour turn off la signature Apache ?
Merci par avance
Marie
Firewall se trouve où maintenant ?
Sujets apparentés
- Serveur non sécurisé, celui-ci ne supporte pas FTP sur TLS
63961
03.09.2018 14:46
- Connexion à mon compte client
58097
13.02.2019 09:51
- reCAPTCHA erreur pour le propriétaire du site : clé de site non valide
50046
14.02.2019 16:17
- [FAQ] Comment mettre à jour mon site pour supporter Apache 2.4 ?
34351
28.07.2017 11:39
- Ce site est inaccessible Impossible de trouver l'adresse DNS du serveur
29800
16.10.2016 16:24
- Augmenter taille PHP Post Max Size sur mutualisé ?
28265
04.12.2019 21:52
- The requested URL / was not found on this server
27863
02.03.2017 18:25
- NextCloud sur mutualisé
27224
07.04.2017 08:42
- Deploy d'un projet Node JS
27084
12.10.2016 20:18
- Passage en php 7.4
24854
30.06.2020 05:05
je te déconseille fortement l'utilisation de ce truc que Ovh appelle Firewall, à tort, et qui n'est que le mod_security Apache, avec une config d'Ovh inconnue et qui empêche bien souvent le fonctionnement des CMS, notamment Wordpress
la signature d'Apache n'est pas présente
quelle est ton but?
as tu regardé les entêtes existantes?
quel est ton CMS?
hello
oui pour le firewall mais je ne le trouve plus sur OVH . j'ai déjà sécurisé les entêtes ;-) huc.net/web/http/cspen lisant cet article et https://securityheaders.com/?q=https://www.dsfc.net également en testant là / (je mets les liens pour ceux qui liront ce post ;-)
mais impossible de mettre la main sur le firewall d'OVH : si quelqu'un a une idée.
Pour la signature Apache : je me référais http://ask.xmodulo.com/turn-off-server-signature-apache-web-server.html sur cet article
Merci pour votre aide :-)
oups j'avais pas lu que tu le déconseillais pour Wordpress ;-)
J'essaye de sécuriser au max avec toutes les attaques :-)
J'utilise Shield pro et HSTS Ready.
Je suis à fond je cherche à TOUT sécuriser un max :-)
que dire...?
avant de te jeter sur tous les ***gadgets***, étudier la chose ou demander conseil
(tes articles sont techniquement bons)
Shield pro? la carte graphique?
hsts, un détail final qui ne mange pas de pain, mais selon ton site, peu utile, car tu auras déjà forcé le https, et ça avec WP ce n'est pas d'origine et si tu n'est pas à l'aise avec https et que tu cherches à basculer en https avec un WP, tu risques de ne pas être déçu...
je parle de Shield de one dollar après avoir testé différents plugins celui-ci est le seul à passer le test de securityheaders ;-)
et ce sont loin d'être des gadgets car je sais ce que c'est d'avoir un site attaqué : il n'y a pas photo : cela dépend vraiment du plugin de sécurité installé. Tu utilises lequel toi ?
(https ça fait longtemps que je les ai installé)
```text bigre, tout repose sur les headers?..
il est où ce test?
tu penses qu'en multipliant les plugins, tu vas améliorer la sécurité?
j'évite de conseiller, je n'utilise pas WP, j'en administre, et je fais tout pour éviter ce genre de trucs ralentisseurs
sur Ovh, c'est utile, je déconseille jetpack et iTheme secuity, vu trop de gens bloqué avec: https://community.ovhcloud.com/community/fr/ithemes-security-erreur-de-connexion-a-mon-site?id=community_question&sys_id=8d32798ce55286d02d4c0165b3e766bb
donc il reste...
https://fr.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
https://fr.wordpress.org/plugins/wordfence/
as tu déjà regardé les headers standard?
tu les trouves dangereux?...
en quoi cela peut-il protéger avec ça https://deliciousbrains.com/wordpress-penetration-testing/ ? :)
tu te feras pirater d'autant plus facilement si tu te polarises sur ce qui est peu utile en oubliant l'essentiel
tiens, un petit hébergeur Worpdress :)
```text
curl --head https://fr.wordpress.com/
HTTP/2 200
server: nginx
date: Mon, 04 Mar 2019 08:54:48 GMT
link: <https://s0.wp.com/home.logged-out/page-domain-only/img/hero-icons.svg>; rel=image; as=style
```
c'est pas du furtif
https est une chose, mais il faut **forcer** la redirection... par sécurité et pour le SEO
le piratage n'est qu'une péripétie, on m'appelle pour cela, encore faut-il un minimum utile pour gagner du temps à remettre en route: sauvegarde, ssh, **ssh non bridé** ```
perso je ne suis pas dev mais ayant eu un site piraté avec all-in-one-wp-security donc j'ai acheté celui de Shield Sécurity qui fait comme All in on + headers que j'ai testé ici (une fois avec all in one et une fois avec shield) : https://securityheaders.com + les tests réalisé en audit qui donne le niveau de protection. Shield s'en tire le mieux à ce jour sans avoir à en rajouté d'autres ;-)
je ne connais pas ton plugin
mais il y as plusieurs manières d'entrer sur un site
un plugin de sécurité ce n'est **SURTOUT pas** pas une protection absolue
tu utilises SFTP?
ton PC est sain? quel système?
quant à payer, j'aurais choisi plus reconnu mais c'est sûrement bien ton truc
sauf que tu ne peux comparer avec ton crack précédent, à moins de demander au cracker de tester maintenant
si j'en crois ton site de test... cela vérifie la présence de
* X-Frame-Options
* Strict-Transport-Security
* Content-Security-Policy
* X-XSS-Protection
* X-Content-Type-Options
* Referrer-Policy
* Feature-Policy
c'est léger, les headers ne sont pas suffisants, c'est un détail utile mais qui ne requiert pas de plugins, encore moins de payer
encore une fois, les apparences...
tu n'aurais pas du être traumatisée par un crack (le termes hack est erroné), car tu le démontres, en dehors du plugin qui sert à pas grand chose, des autres mesures sont à prendre
un peu comme les anti-virus...
perso je n'en ai jamais utilisé, même sur windows
mais mes utilisateurs si... ce qui n'a pas évité toutes les infections, car les failles se trouvent souvent chez l'utilisateur
si la sécurité est un critère important, tu peux faire tester ton site, à moins d'avoir les compétences pour juger par toi même
hello
les headers ont est d'accord c'est le minimum
ben même OVH par exemple obtient un F
https://securityheaders.com/?q=https%3A%2F%2Fwww.ovh.com%2Ffr%2F
en fait je ne connais que peu de test qui passe juste les headers alors le reste...
Je ne suis plus sur PC depuis longtemps LOL
;-)
tu crois que ton système ne peut avoir de rootkit ;) ?
pourtant, c'est pas compliqué, si tu lis leurs explications, à toi de les ajouter ces headers avec .htaccess et/ou php
t'inquiètes je viens de décider que je vais changer d'hosting.
Je suis en train de me faire un comparatif : d'autres installent les sécurités directement ;-)
super, il faut y croire à la sécurité fournie par d'autres, ça rassure :)
j'optimise : je choisis les 2. Avec OVH j'en choisis qu'un seul : le mien LOL