Firewall se trouve où maintenant ?
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
question

Firewall se trouve où maintenant ?

Par
MarieB1
Créé le 2017-04-16 10:17:17 (edited on 2024-09-04 11:07:00) dans Hébergements Web

Bonjour
Je souhaitais sécuriser un peu plus mon site et avant il y avait un firewall chez OVH : https://docs.ovh.com/fr/hosting/activation-pare-feu-applicatif/#le-mod_security

Impossible à retrouver (je suis très mécontente de ce dashboard absolument pas pensé en terme de UX (User eXperience) : quelqu'un a une idée ?
ou pour turn off la signature Apache ?
Merci par avance
Marie


13 réponses ( Latest reply on 2019-03-13 18:21:02 Par
MarieB1
)

je te déconseille fortement l'utilisation de ce truc que Ovh appelle Firewall, à tort, et qui n'est que le mod_security Apache, avec une config d'Ovh inconnue et qui empêche bien souvent le fonctionnement des CMS, notamment Wordpress

la signature d'Apache n'est pas présente

quelle est ton but?
as tu regardé les entêtes existantes?
quel est ton CMS?

hello
oui pour le firewall mais je ne le trouve plus sur OVH . j'ai déjà sécurisé les entêtes ;-) huc.net/web/http/cspen lisant cet article et https://securityheaders.com/?q=https://www.dsfc.net également en testant là / (je mets les liens pour ceux qui liront ce post ;-)
mais impossible de mettre la main sur le firewall d'OVH : si quelqu'un a une idée.
Pour la signature Apache : je me référais http://ask.xmodulo.com/turn-off-server-signature-apache-web-server.html sur cet article
Merci pour votre aide :-)

oups j'avais pas lu que tu le déconseillais pour Wordpress ;-)
J'essaye de sécuriser au max avec toutes les attaques :-)
J'utilise Shield pro et HSTS Ready.
Je suis à fond je cherche à TOUT sécuriser un max :-)

que dire...?
avant de te jeter sur tous les ***gadgets***, étudier la chose ou demander conseil
(tes articles sont techniquement bons)

Shield pro? la carte graphique?
hsts, un détail final qui ne mange pas de pain, mais selon ton site, peu utile, car tu auras déjà forcé le https, et ça avec WP ce n'est pas d'origine et si tu n'est pas à l'aise avec https et que tu cherches à basculer en https avec un WP, tu risques de ne pas être déçu...

je parle de Shield de one dollar après avoir testé différents plugins celui-ci est le seul à passer le test de securityheaders ;-)
et ce sont loin d'être des gadgets car je sais ce que c'est d'avoir un site attaqué : il n'y a pas photo : cela dépend vraiment du plugin de sécurité installé. Tu utilises lequel toi ?
(https ça fait longtemps que je les ai installé)

```text bigre, tout repose sur les headers?..
il est où ce test?

tu penses qu'en multipliant les plugins, tu vas améliorer la sécurité?

j'évite de conseiller, je n'utilise pas WP, j'en administre, et je fais tout pour éviter ce genre de trucs ralentisseurs
sur Ovh, c'est utile, je déconseille jetpack et iTheme secuity, vu trop de gens bloqué avec: https://community.ovhcloud.com/community/fr/ithemes-security-erreur-de-connexion-a-mon-site?id=community_question&sys_id=8d32798ce55286d02d4c0165b3e766bb

donc il reste...
https://fr.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
https://fr.wordpress.org/plugins/wordfence/

as tu déjà regardé les headers standard?
tu les trouves dangereux?...
en quoi cela peut-il protéger avec ça https://deliciousbrains.com/wordpress-penetration-testing/ ? :)
tu te feras pirater d'autant plus facilement si tu te polarises sur ce qui est peu utile en oubliant l'essentiel
tiens, un petit hébergeur Worpdress :)
```text
curl --head https://fr.wordpress.com/
HTTP/2 200
server: nginx
date: Mon, 04 Mar 2019 08:54:48 GMT
link: <https://s0.wp.com/home.logged-out/page-domain-only/img/hero-icons.svg>; rel=image; as=style
```
c'est pas du furtif


https est une chose, mais il faut **forcer** la redirection... par sécurité et pour le SEO

le piratage n'est qu'une péripétie, on m'appelle pour cela, encore faut-il un minimum utile pour gagner du temps à remettre en route: sauvegarde, ssh, **ssh non bridé** ```

perso je ne suis pas dev mais ayant eu un site piraté avec all-in-one-wp-security donc j'ai acheté celui de Shield Sécurity qui fait comme All in on + headers que j'ai testé ici (une fois avec all in one et une fois avec shield) : https://securityheaders.com + les tests réalisé en audit qui donne le niveau de protection. Shield s'en tire le mieux à ce jour sans avoir à en rajouté d'autres ;-)

je ne connais pas ton plugin

mais il y as plusieurs manières d'entrer sur un site
un plugin de sécurité ce n'est **SURTOUT pas** pas une protection absolue
tu utilises SFTP?
ton PC est sain? quel système?

quant à payer, j'aurais choisi plus reconnu mais c'est sûrement bien ton truc
sauf que tu ne peux comparer avec ton crack précédent, à moins de demander au cracker de tester maintenant

si j'en crois ton site de test... cela vérifie la présence de
* X-Frame-Options
* Strict-Transport-Security
* Content-Security-Policy
* X-XSS-Protection
* X-Content-Type-Options
* Referrer-Policy
* Feature-Policy

c'est léger, les headers ne sont pas suffisants, c'est un détail utile mais qui ne requiert pas de plugins, encore moins de payer

encore une fois, les apparences...

tu n'aurais pas du être traumatisée par un crack (le termes hack est erroné), car tu le démontres, en dehors du plugin qui sert à pas grand chose, des autres mesures sont à prendre

un peu comme les anti-virus...
perso je n'en ai jamais utilisé, même sur windows
mais mes utilisateurs si... ce qui n'a pas évité toutes les infections, car les failles se trouvent souvent chez l'utilisateur

si la sécurité est un critère important, tu peux faire tester ton site, à moins d'avoir les compétences pour juger par toi même

hello
les headers ont est d'accord c'est le minimum
ben même OVH par exemple obtient un F
https://securityheaders.com/?q=https%3A%2F%2Fwww.ovh.com%2Ffr%2F
en fait je ne connais que peu de test qui passe juste les headers alors le reste...
Je ne suis plus sur PC depuis longtemps LOL
;-)

tu crois que ton système ne peut avoir de rootkit ;) ?

pourtant, c'est pas compliqué, si tu lis leurs explications, à toi de les ajouter ces headers avec .htaccess et/ou php

t'inquiètes je viens de décider que je vais changer d'hosting.
Je suis en train de me faire un comparatif : d'autres installent les sécurités directement ;-)

super, il faut y croire à la sécurité fournie par d'autres, ça rassure :)

j'optimise : je choisis les 2. Avec OVH j'en choisis qu'un seul : le mien LOL