Pour tout type de projet en ligne, la sécurité est essentielle. Mais au-delà des coûts financiers, les problèmes de sécurité peuvent entraîner des temps d’arrêt qui perturbent votre projet et compromettent les données des clients. Ils peuvent également affecter les ventes/l’activité, ainsi que l’image de votre marque et la crédibilité de votre site web.
Au démarrage, il existe diverses menaces de sécurité pour les entreprises en ligne à garder à l’esprit. Nous examinons ici les défis de sécurité auxquels les utilisateurs d’hébergement mutualisé peuvent être confrontés, ainsi que la manière de les prévenir et de les résoudre.
Sécurité de l’hébergement mutualisé
En raison de la nature de l’hébergement mutualisé et de sa conception, certains domaines peuvent être ciblés. Et bien que la plupart des paramètres de sécurité soient gérés par le fournisseur d’hébergement, les utilisateurs peuvent gérer de manière proactive et atténuer certains risques de sécurité. Les aspects de l’hébergement mutualisé les plus exposés aux risques relèvent des catégories suivantes :
Niveau du fournisseur d’hébergement
Niveau serveur (lié au produit et au serveur partagé)
Contrôle utilisateur (lié aux logiciels installés, aux paramètres et à l’utilisation quotidienne)
Sécurité au niveau du fournisseur d’hébergement
Il est toujours préférable de choisir un fournisseur d’hébergement disposant des bonnes mesures de sécurité pour atténuer les problèmes potentiels liés à votre compte, à votre service d’hébergement et à vos données.
Voici quelques éléments à surveiller :
Sécurité élevée du compte et confidentialité des données (authentification multifacteur & plateforme sécurisée).
Atténuation des attaques DDoS au niveau du serveur.
Sauvegardes régulières des logiciels (avec notifications).
Une autre chose à garder à l’esprit est qu’avec l’hébergement mutualisé, vous n’êtes pas isolé. Ainsi, si un site web utilise de mauvaises pratiques de sécurité, comme l’absence de chiffrement des données sensibles, cela peut représenter un risque pour les autres utilisateurs. Une attaque qui accède à la base de données d’un site peut trouver des connexions ou des scripts qui interagissent avec d’autres comptes sur le serveur.
Il existe également un risque de propagation de logiciels malveillants, lorsqu’un site est infecté et que l’infection se propage à d’autres sites sur le serveur via des fichiers, des scripts ou des connexions de base de données partagés. Une fois que le malware infecte plusieurs sites, cela peut entraîner des violations de données ou d’autres exploitations.
Sachez que les fournisseurs d’hébergement peuvent ne pas mettre à jour par défaut les logiciels et configurations du serveur dès que les mises à jour sont disponibles. Cela peut créer des vulnérabilités qui peuvent ensuite être exploitées. Par exemple, les cybercriminels ciblent souvent des versions obsolètes de PHP ou de MySQL.
Cela signifie que vous devez vous assurer que toutes les mises à jour du serveur sont effectuées rapidement. Il est également préférable de vérifier si les fournisseurs d’hébergement prennent en charge ou proposent les éléments suivants :
Certificats SSL
Pare-feu
Support client
Sous le contrôle de l’utilisateur
Infrastructure logicielle de l’hébergement mutualisé
Les fournisseurs d’hébergement sont responsables de la sécurité de l’infrastructure logicielle, mais les utilisateurs doivent gérer la sécurité de tout logiciel supplémentaire et de tout code personnalisé.
Plugins et thèmes non sécurisés
Un aspect de sécurité à prendre en compte est le choix des plugins, outils et services. S’ils ne sont pas légitimes ou sûrs, tous les utilisateurs d’hébergement mutualisé sur le serveur peuvent être exposés à diverses attaques ou infections par des logiciels malveillants.
Il est également possible qu’un logiciel légitime et officiel soit utilisé sans être mis à jour, ce qui peut en faire une vulnérabilité de sécurité. Cela peut être le cas des mises à jour WordPress, auxquelles vous devez prêter attention dans les e-mails et notifications, car elles ne sont pas toujours appliquées automatiquement.
Lorsque vous devez appliquer activement les mises à jour, il est plus facile de les négliger. C’est un point à garder à l’esprit lors du choix de votre fournisseur.
Vous pouvez vous informer sur les mises à jour d’hébergement de ces façons :
E-mails
Alertes dans le tableau de bord
Notes de version des fournisseurs de systèmes de gestion de contenu (CMS)
Forums
Gestion des mots de passe
Lorsque la gestion des mots de passe n’est pas effectuée de manière sécurisée, cela peut permettre un accès non autorisé dans l’environnement d’hébergement. Les failles de sécurité peuvent être causées par des mots de passe faibles ou faciles à deviner, ou lorsque des identifiants de sécurité sont partagés entre différents utilisateurs.
Attaques par force brute
Celles-ci impliquent des logiciels malveillants qui tentent un grand nombre de combinaisons de mots de passe jusqu’à obtenir l’accès. Lorsque les mots de passe ne sont pas suffisamment robustes, l’accès peut être obtenu plus facilement.
Autorisations de fichiers
Des erreurs dans les autorisations de fichiers peuvent provoquer la fuite d’informations sensibles, telles que les identifiants de base de données. Ce type de faille peut également représenter un risque pour les autres utilisateurs du serveur, et pas seulement pour le site web visé par l’attaque.
Sécurité au niveau du serveur
Comme déjà mentionné, les utilisateurs partagent les ressources du serveur avec d’autres utilisateurs de Shared Hosting. Lorsqu’ils ne sont pas correctement gérés, les environnements partagés peuvent présenter divers risques de sécurité qu’il convient de prendre en compte.
Attaques DDoS
Les comptes d’hébergement mutualisé sont vulnérables aux attaques par déni de service distribué (DDoS), dans lesquelles des systèmes en ligne, des serveurs ou des réseaux sont submergés de demandes de connexion (trafic Internet). Ces attaques sont souvent menées par un réseau de bots (botnet) et empêchent les internautes ordinaires d’accéder au site web pendant un certain temps.
Limitation des ressources et son impact
Lorsqu’un compte d’hébergement voisin subit une attaque, ce compte utilisera davantage de ressources, qui ne seront donc plus disponibles pour les autres utilisateurs. Le résultat final est que les sites web seront lents ou indisponibles.
Les fournisseurs d’hébergement peuvent appliquer des mesures de surveillance, telles que des pare-feu et une surveillance automatisée du trafic, et intervenir en cas de DDoS pour éviter que d’autres utilisateurs ne soient affectés lorsqu’un voisin est attaqué.
Les mesures visant à prévenir ou à réduire les effets des attaques sur le même serveur comprennent :
Routeurs haute capacité
Systèmes anti-DDoS
Isolation des comptes
Pare-feu
Systèmes de détection et de prévention des intrusions (IDPS)
Limitation du trafic
Même avec des mesures de sécurité en place, l’hébergement web dans des environnements partagés est légèrement plus vulnérable en raison de la structure des comptes d’hébergement mutualisé.
Sécurité des adresses IP partagées
Dans certains cas, les comptes d’hébergement mutualisé, qui peuvent inclure plusieurs forfaits et sites web, partagent tous la même adresse IP. Cela signifie que si cette adresse IP du serveur est touchée par une cyberattaque, toute une gamme de forfaits d’hébergement et de sites web peut être affectée — même ceux qui n’étaient pas la cible visée.
Violations de données en hébergement mutualisé
Dans les environnements d’hébergement mutualisé, si un site web est compromis, les attaquants peuvent potentiellement trouver des moyens d’accéder aux fichiers ou aux bases de données d’autres sites sur le même serveur. Cela signifie qu’un serveur mal configuré est plus vulnérable aux violations de données, permettant un accès non autorisé à d’autres comptes utilisateurs.
Un site web particulier sur le serveur peut être attaqué, par exemple par une attaque DDoS, une injection SQL ou un cross-site scripting. La perturbation des ressources qui en résulte peut faciliter l’exploitation d’autres vulnérabilités sur le serveur par les attaquants, ce qui peut compromettre les données de plusieurs sites.
Personnalisation de la sécurité de l’hébergement mutualisé
Avec les produits d’hébergement mutualisé, vous n’avez pas besoin de gérer la sécurité de votre serveur, mais vous ne pouvez pas configurer les choses avec autant de flexibilité qu’avec des options d’hébergement qui fournissent un accès root.
Les fournisseurs d’hébergement proposent généralement une configuration de sécurité standard qui contrôle les fonctionnalités de sécurité les plus importantes, ce qui peut ne pas répondre aux besoins spécifiques de certains utilisateurs. Si vous avez besoin que vos paramètres de sécurité soient plus configurables, il serait probablement préférable d’opter pour un serveur dédié ou un service d’hébergement Virtual Machine (VPS).
Sécurité de l’hébergement mutualisé vs autres types d’hébergement
Hébergement mutualisé vs VPS et hébergement dédié
Avec l’hébergement mutualisé, vous pouvez suivre les bonnes pratiques et vous assurer de courir un risque minimal. Mais si vous avez des exigences de sécurité plus élevées, vous devriez peut-être choisir un hébergement VPS ou sur serveur dédié. Avec ces options, vous aurez probablement un accès root et la possibilité de gérer et configurer vos paramètres de sécurité selon vos préférences.
Avantages de sécurité de l’hébergement dédié
Un avantage de sécurité supplémentaire offert par l’hébergement dédié est l’isolation totale. Alors que les utilisateurs d’hébergement mutualisé peuvent être vulnérables aux risques causés par d’autres utilisateurs sur le même serveur, les utilisateurs d’hébergement disposent d’un serveur entier pour eux seuls et d’un contrôle total sur leur propre sécurité. Il en va de même pour les propriétaires d’un serveur privé virtuel, mais comme l’isolation est virtuelle, les utilisateurs VPS ne sont pas tout à fait aussi indépendants que les utilisateurs d’hébergement dédié.
Il faut garder à l’esprit que la personnalisation et le contrôle supplémentaires de la sécurité qu’offrent l’hébergement dédié et le VPS s’accompagnent de responsabilités supplémentaires. Si les utilisateurs n’ont pas les compétences techniques nécessaires pour personnaliser et gérer eux-mêmes les paramètres de sécurité, ils peuvent avoir besoin d’engager un professionnel de l’informatique.
10 stratégies pour sécuriser l’hébergement mutualisé
Pour les utilisateurs d’hébergement mutualisé, il existe des risques de sécurité à garder à l’esprit, mais aussi des bonnes pratiques qui peuvent minimiser ces risques.
1. Effectuez des sauvegardes régulières
La sauvegarde régulière des fichiers du site web et des bases de données évite la perte de données en cas de violation de données ou de problème avec un logiciel installé. Elle permet également aux utilisateurs de revenir plus rapidement à un fonctionnement normal en restaurant un état antérieur et non infecté du site web.
Il est généralement judicieux d’utiliser un service de sauvegarde automatique, car les sauvegardes manuelles peuvent facilement être oubliées ou ne pas être effectuées assez régulièrement.
2. Évitez les sources non fiables
Soyez toujours particulièrement vigilant lorsque vous utilisez des plugins ou des logiciels, afin d’éviter les sources non fiables et de minimiser les risques de sécurité.
3. Utilisez des mots de passe sécurisés et la 2FA/MFA
Il est important d’utiliser uniquement des mots de passe forts et uniques pour votre compte d’hébergement, les panneaux d’administration CMS et les comptes FTP/SFTP. Pour une couche de sécurité supplémentaire, activez l’authentification à deux facteurs (2FA) ou l’authentification multifacteur (MFA) chaque fois que possible.
4. Régulez les autorisations, les rôles utilisateur et les accès
Pour éviter tout accès non autorisé, définissez des rôles utilisateur et des autorisations appropriés, et veillez à stocker et partager les identifiants de manière sécurisée avec vos partenaires.
Il est recommandé de limiter le nombre de personnes ayant accès à votre compte d’hébergement et à votre site web. Surveillez régulièrement vos journaux d’accès et l’activité de votre compte afin de détecter tout comportement inhabituel ou non autorisé.
N’oubliez pas de définir les bonnes autorisations pour les fichiers et dossiers afin d’empêcher tout accès non autorisé. Cela inclut 644 pour les fichiers et 755 pour les répertoires. Évitez 777, qui autorise des permissions complètes de lecture/écriture/exécution pour tous les utilisateurs — sauf si vous êtes certain que c’est nécessaire.
5. Utilisez un pare-feu d’application web (WAF)
Un WAF analyse le trafic entrant du site web, identifie et filtre les requêtes malveillantes avant qu’elles n’atteignent les applications web. Cela aide à prévenir divers types d’attaques, comme l’injection SQL, le cross-site scripting (XSS) et l’inclusion de fichiers à distance.
Les WAF peuvent bloquer les adresses IP malveillantes connues ainsi que les sources de spam ou d’attaques DDoS, empêchant ces requêtes d’affecter les performances du site web.
Utilisez un WAF pour filtrer et bloquer le trafic malveillant vers votre site. Certains fournisseurs d’hébergement proposent des WAF dans le cadre de leur service, ou vous pouvez utiliser des solutions tierces comme Cloudflare ou Sucuri.
6. Utilisez des certificats SSL pour la sécurité du site web
Pour la sécurité du site web et la protection des données des utilisateurs, les certificats SSL sont une mesure essentielle. Le protocole HTTPS sécurise la communication entre votre site web et les visiteurs. De nombreux fournisseurs d’hébergement, comme Let’s Encrypt, proposent des certificats SSL gratuits pour tous les sites web.
7. Mettez régulièrement à jour les correctifs, CMS et plugins
Veillez à toujours mettre régulièrement à jour vos plateformes de système de gestion de contenu (CMS), plugins et thèmes afin de minimiser les vulnérabilités de sécurité.
Assurez-vous que votre fournisseur d’hébergement maintient tous les logiciels serveur, tels qu’Apache, PHP et MySQL, entièrement à jour.
8. Analysez et surveillez les activités suspectes
Surveillez régulièrement les signes d’activité suspecte afin de détecter les menaces de sécurité. cPanel Virus Scanner est inclus dans les forfaits Spaceship Shared Hosting. Il existe également des services de surveillance gratuits comme ImunifyAV, ainsi que des scanners en ligne gratuits, tels que Sucuri.
Les outils d’analyse des malwares détectent et suppriment les logiciels malveillants des sites web, et de nombreux fournisseurs d’hébergement proposent une analyse intégrée des malwares. Vous pouvez également installer facilement des plugins de sécurité pour des plateformes CMS populaires comme WordPress.
9. Utilisez le protocole de transfert de fichiers sécurisé (SFTP)
Mettez en œuvre SFTP pour votre protocole de transfert de fichiers (FTP), afin de rendre le transfert des fichiers du site web plus sécurisé. Alors que FTP transmet les données (y compris les mots de passe) en texte clair, SFTP chiffre la transmission des données. Une autre alternative sécurisée à FTP est le protocole FTPS.
10. Isolation forte des comptes
Il est préférable de choisir un fournisseur d’hébergement offrant une forte isolation des comptes utilisateurs, comme CageFS de CloudLinux, afin d’isoler l’environnement de chaque utilisateur et d’empêcher qu’un compte utilisateur n’affecte les autres.
Considérations de sécurité supplémentaires
Vérifiez toujours que votre fournisseur d’hébergement suit des politiques et normes de sécurité sensées, et qu’il dispose de technologies comme CloudLinux et cageFS. N’oubliez pas que les principes de base de la sécurité commencent par l’utilisateur ; assurez-vous donc de mettre en œuvre des mesures de sécurité solides, comme les sauvegardes automatiques, le chiffrement SSL et l’application automatique de correctifs et de mises à jour des logiciels serveur.
Les produits de sécurité que vous pouvez envisager d’acheter comprennent :
Outils d’analyse automatique et de nettoyage pour la détection des malwares
Accès terminal chiffré via Secure Shell (SSH)
Protection contre les attaques à fort volume
WAF
Protection DDoS
CDN (pour réduire l’impact des attaques DDoS)
Restez en sécurité et protégé
Pour les particuliers comme pour les entreprises de toutes tailles, la cybersécurité doit toujours être une priorité absolue. En tant que client d’hébergement mutualisé, il y a quelques problèmes de sécurité auxquels il faut prêter attention, mais en prenant les bonnes décisions et en suivant les bonnes pratiques, vous pouvez garder les risques sous contrôle.


Partagez vos pensées