Firewall se trouve où maintenant ?

MarieB1 2019-03-04 06:26:59 UTC #1

Bonjour
Je souhaitais sécuriser un peu plus mon site et avant il y avait un firewall chez OVH : https://docs.ovh.com/fr/hosting/activation-pare-feu-applicatif/#le-mod_security

Impossible à retrouver (je suis très mécontente de ce dashboard absolument pas pensé en terme de UX (User eXperience) : quelqu'un a une idée ?
ou pour turn off la signature Apache ?
Merci par avance
Marie

kyodev 2019-03-04 07:14:57 UTC #2

je te déconseille fortement l'utilisation de ce truc que Ovh appelle Firewall, à tort, et qui n'est que le mod_security Apache, avec une config d'Ovh inconnue et qui empêche bien souvent le fonctionnement des CMS, notamment Wordpress

la signature d'Apache n'est pas présente

quelle est ton but?
as tu regardé les entêtes existantes?
quel est ton CMS?

MarieB1 2019-03-04 07:19:20 UTC #3

hello
oui pour le firewall mais je ne le trouve plus sur OVH . j'ai déjà sécurisé les entêtes ;-) en lisant cet article et également en testant là / (je mets les liens pour ceux qui liront ce post ;-)
mais impossible de mettre la main sur le firewall d'OVH : si quelqu'un a une idée.
Pour la signature Apache : je me référais sur cet article
Merci pour votre aide :-)

MarieB1 2019-03-04 07:21:21 UTC #4

oups j'avais pas lu que tu le déconseillais pour Wordpress ;-)
J'essaye de sécuriser au max avec toutes les attaques :-)
J'utilise Shield pro et HSTS Ready.
Je suis à fond je cherche à TOUT sécuriser un max :-)

kyodev 2019-03-04 07:29:49 UTC #5

que dire...?
avant de te jeter sur tous les gadgets, étudier la chose ou demander conseil
(tes articles sont techniquement bons)

Shield pro? la carte graphique?
hsts, un détail final qui ne mange pas de pain, mais selon ton site, peu utile, car tu auras déjà forcé le https, et ça avec WP ce n'est pas d'origine et si tu n'est pas à l'aise avec https et que tu cherches à basculer en https avec un WP, tu risques de ne pas être déçu...

MarieB1 2019-03-04 08:28:35 UTC #6

je parle de Shield de one dollar après avoir testé différents plugins celui-ci est le seul à passer le test de securityheaders ;-)
et ce sont loin d'être des gadgets car je sais ce que c'est d'avoir un site attaqué : il n'y a pas photo : cela dépend vraiment du plugin de sécurité installé. Tu utilises lequel toi ?
(https ça fait longtemps que je les ai installé)

kyodev 2019-03-04 09:00:20 UTC #7

bigre, tout repose sur les headers?..
il est où ce test?

tu penses qu'en multipliant les plugins, tu vas améliorer la sécurité?

j'évite de conseiller, je n'utilise pas WP, j'en administre, et je fais tout pour éviter ce genre de trucs ralentisseurs
sur Ovh, c'est utile, je déconseille jetpack et iTheme secuity, vu trop de gens bloqué avec: https://community.ovh.com/t/ithemes-security-erreur-de-connexion-a-mon-site/14457/21

donc il reste...
https://fr.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
https://fr.wordpress.org/plugins/wordfence/

as tu déjà regardé les headers standard?
tu les trouves dangereux?...
en quoi cela peut-il protéger avec ça https://deliciousbrains.com/wordpress-penetration-testing/ ? :)
tu te feras pirater d'autant plus facilement si tu te polarises sur ce qui est peu utile en oubliant l'essentiel
tiens, un petit hébergeur Worpdress :)

curl --head https://fr.wordpress.com/
HTTP/2 200 
server: nginx
date: Mon, 04 Mar 2019 08:54:48 GMT
link: <https://s0.wp.com/home.logged-out/page-domain-only/img/hero-icons.svg>; rel=image; as=style

c'est pas du furtif

https est une chose, mais il faut forcer la redirection... par sécurité et pour le SEO

le piratage n'est qu'une péripétie, on m'appelle pour cela, encore faut-il un minimum utile pour gagner du temps à remettre en route: sauvegarde, ssh, ssh non bridé

MarieB1 2019-03-04 12:29:37 UTC #8

perso je ne suis pas dev mais ayant eu un site piraté avec all-in-one-wp-security donc j'ai acheté celui de Shield Sécurity qui fait comme All in on + headers que j'ai testé ici (une fois avec all in one et une fois avec shield) : https://securityheaders.com + les tests réalisé en audit qui donne le niveau de protection. Shield s'en tire le mieux à ce jour sans avoir à en rajouté d'autres ;-)

kyodev 2019-03-04 12:44:56 UTC #9

je ne connais pas ton plugin

mais il y as plusieurs manières d'entrer sur un site
un plugin de sécurité ce n'est SURTOUT pas pas une protection absolue
tu utilises SFTP?
ton PC est sain? quel système?

quant à payer, j'aurais choisi plus reconnu mais c'est sûrement bien ton truc
sauf que tu ne peux comparer avec ton crack précédent, à moins de demander au cracker de tester maintenant

si j'en crois ton site de test... cela vérifie la présence de
* X-Frame-Options
* Strict-Transport-Security
* Content-Security-Policy
* X-XSS-Protection
* X-Content-Type-Options
* Referrer-Policy
* Feature-Policy

c'est léger, les headers ne sont pas suffisants, c'est un détail utile mais qui ne requiert pas de plugins, encore moins de payer

encore une fois, les apparences...

tu n'aurais pas du être traumatisée par un crack (le termes hack est erroné), car tu le démontres, en dehors du plugin qui sert à pas grand chose, des autres mesures sont à prendre

un peu comme les anti-virus...
perso je n'en ai jamais utilisé, même sur windows
mais mes utilisateurs si... ce qui n'a pas évité toutes les infections, car les failles se trouvent souvent chez l'utilisateur

si la sécurité est un critère important, tu peux faire tester ton site, à moins d'avoir les compétences pour juger par toi même

MarieB1 2019-03-13 15:05:16 UTC #10

hello
les headers ont est d'accord c'est le minimum
ben même OVH par exemple obtient un F

en fait je ne connais que peu de test qui passe juste les headers alors le reste...
Je ne suis plus sur PC depuis longtemps LOL
;-)

kyodev 2019-03-13 15:46:14 UTC #11

tu crois que ton système ne peut avoir de rootkit ;) ?

pourtant, c'est pas compliqué, si tu lis leurs explications, à toi de les ajouter ces headers avec .htaccess et/ou php

MarieB1 2019-03-13 16:35:42 UTC #12

t'inquiètes je viens de décider que je vais changer d'hosting.
Je suis en train de me faire un comparatif : d'autres installent les sécurités directement ;-)

kyodev 2019-03-13 16:57:03 UTC #13

super, il faut y croire à la sécurité fournie par d'autres, ça rassure :)

MarieB1 2019-03-13 18:21:02 UTC #14

j'optimise : je choisis les 2. Avec OVH j'en choisis qu'un seul : le mien LOL

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.