25 conseils pour améliorer votre sécurité cPanel/WHM
Publié: 2021-09-10La sécurité est une affaire énorme. Il existe de nombreuses façons de s'assurer que votre serveur cPanel/WHM est sécurisé, mais tout commence par les bases. Dans cet article de blog, nous passerons en revue 25 conseils qui peuvent vous aider à protéger votre système contre toute menace !
25 conseils pour améliorer votre sécurité cPanel/WHM
1. Définir des mots de passe sécurisés
Assurez-vous de changer votre mot de passe tous les 90 jours. Utilisez un générateur de mot de passe sécurisé pour le garder propre et net. Si quelqu'un met la main sur votre mot de passe root, il peut prendre le contrôle du serveur en quelques minutes !
2. Installer les mises à jour
N'attendez pas que cPanel/WHM vous avertisse lorsqu'une mise à jour est disponible ! Il est important que vous soyez à jour autant que possible avec tous les derniers correctifs de sécurité de CentOS ou RedHat.
3. Créer des comptes de sauvegarde
Créez un compte de sauvegarde pour chaque utilisateur qui a besoin d'accéder au serveur. De cette façon, s'ils font quelque chose qui ne va pas, vous pouvez suspendre leur compte jusqu'à ce qu'il soit résolu.
4. Sécurité du Web et de la messagerie électronique
Les cybercriminels ciblent les employés internes pour accéder et commettre des fraudes. L'hameçonnage est l'un des outils qu'ils utilisent, et il est important que les e-mails suspects contenant des pièces jointes soient étroitement surveillés afin de détecter tout signe de problème. Les filtres de contenu Web et les filtres de messagerie fonctionnent ensemble pour empêcher les utilisateurs d'accéder au contenu Web malveillant.
5. Restreindre l'accès SSH via des clés publiques UNIQUEMENT
Tous les mots de passe enregistrés doivent être effectués à l'aide de clés publiques plutôt que de mots de passe stockés localement sur chaque serveur individuel. Cela garantira que votre système est protégé contre les attaques par force brute et que les pirates ne pourront pas accéder au serveur via SSH sans les informations d'identification appropriées.
6. Désactiver Web Shell
Par défaut, la plupart des serveurs ont un web shell installé dans cPanel/WHM, qui peut permettre à un attaquant d'accéder à WHM s'il parvient à obtenir un accès root sur la box avec ces informations d'identification. Assurez-vous que cette fonctionnalité est désactivée en allant dans WHM > Installer ou supprimer le logiciel.
7. Protection pare-feu CSF
L'un des meilleurs outils que vous pouvez utiliser pour vous aider avec votre sécurité cPanel/WHM est un pare-feu. Le pare-feu CSF (Config Server Security & Firewall) protégera la plupart des services tels que FTP, SSH et POP/IMAP. Il est facile à installer et à configurer avec des options telles que la protection contre la force brute !
8. Gardez un œil sur les journaux
S'il y a des signes que quelque chose d'étrange se produit ou que des utilisateurs ont essayé d'accéder à votre système sans que les informations d'identification appropriées ne soient envoyées par e-mail, vérifiez le répertoire /var/log pour tout élément suspect.
9. Mettez régulièrement à niveau cPanel
C'est l'un des moyens les plus simples de garantir que votre serveur reste à jour avec les correctifs de sécurité et que vous ne soyez pas piraté. Cela peut être fait en allant dans WHM > Mettre à jour cPanel et installer les mises à jour.
10. Activer la protection contre la force brute
Une attaque par force brute se produit lorsque quelqu'un essaie d'accéder à votre serveur en devinant la combinaison du nom d'utilisateur et du mot de passe. Ces informations peuvent être trouvées par essais et erreurs (en essayer un, puis en essayer un autre), ou via un logiciel automatisé utilisé à cette fin ; c'est pourquoi on l'appelle "force brute". Heureusement, il existe une option disponible dans WHM > Tweak Settings qui peut aider à protéger votre système contre ces types d'attaques !
11. Désactiver le FTP anonyme
Le FTP anonyme est un moyen pour les utilisateurs d'accéder à vos fichiers sans être connectés avec des informations d'identification. Cela peut être utilisé par les pirates comme une porte ouverte sur votre serveur cPanel/WHM s'ils parviennent à obtenir un accès root à la boîte ! Assurez-vous que cette fonctionnalité est activée ou désactivée selon ce que vous voulez, et utilisez WHM > Gestionnaire de fonctionnalités pour le faire rapidement.
12. Vérification de la sécurité du site hébergé
Cet outil rapide peut être utilisé pour tester la sécurité de votre (vos) site(s) Web en saisissant l'URL. Il vérifiera des éléments tels que les certificats SSL, les anciennes versions du logiciel et si vous utilisez ou non un thème/cadre CSS obsolète (ce qui pourrait entraîner des vulnérabilités).
13. Activer l'audit
Si quelqu'un peut accéder à WHM en tant qu'utilisateur root, il est important qu'il y ait une capacité de suivi disponible pour enregistrer toutes les activités effectuées par ces utilisateurs. Vous devez vous assurer que l'audit est activé afin qu'un fichier journal garde une trace de tout ce qu'ils font quotidiennement !
14. Désactiver les services et démons inutilisés
Assurez-vous toujours que vous exécutez uniquement les services nécessaires au bon fonctionnement de votre serveur. Vous pouvez le faire en accédant à WHM > Gestionnaire de service et en désactivant toutes les fonctionnalités qui ne sont pas utilisées ou celles qui posent un risque de sécurité potentiel si elles restent actives.
15. Désactiver Apache mod_userdirs
Pour que quelqu'un puisse exploiter quoi que ce soit dans Apache, il faut que certains répertoires ou fichiers soient correctement configurés pour que tout ce que vous essayez de faire fonctionne réellement. Si cela n'est pas configuré, un attaquant aura beaucoup de mal à se rendre n'importe où.
16. Verrouiller le tmp
Une partition tmp est utilisée pour le stockage temporaire des fichiers. Si ce répertoire a des autorisations en lecture universelle, il peut être utilisé à mauvais escient par des attaquants pour stocker/lire des informations sur votre système (comme le fichier /etc/passwd). Cette configuration empêche les attaquants de stocker des fichiers et d'exécuter des programmes dans le dossier tmp.
17. Activer les mises à jour de sécurité
Une dernière chose que vous devez toujours faire avant de vous déconnecter de votre serveur est de vous assurer que toutes les mises à jour de sécurité sont installées si elles sont disponibles. Vous pouvez découvrir ce qui est requis et comment les installer dans WHM > Mettre à jour les préférences sous « Centre de sécurité ».
18. Désactiver la fonction PHP mail()
La fonction PHP mail() envoie des e-mails directement via PHP sans utiliser SMTP, ce qui constitue une menace potentielle car un attaquant pourrait potentiellement usurper les en-têtes avec des techniques de spam, telles que SPAM ou XBL.
19. Contrôler le service d'accès par adresse IP
cPanel & WHM vous permet de contrôler qui peut accéder à votre serveur par adresse IP. C'est un excellent moyen de s'assurer que seules les bonnes personnes y ont accès lorsqu'elles en ont besoin ! Vous devez ajouter toutes les adresses IP nécessaires dans cPHulk pour que ce service soit utile.
20. Activer Apache mod_suPHP
Par défaut, cPanel utilise suEXEC qui est une méthode plus ancienne qui peut en fait poser des risques de sécurité si elle n'est pas configurée correctement ; nous vous suggérons d'utiliser le module mod_suPHP à la place car il est plus rapide et plus sécurisé.
21. Désactiver la séparation des privilèges des commandes Shell Backtick
Si quelqu'un peut accéder en tant qu'utilisateur root à votre boîte, cela lui permet d'exécuter des commandes shell dans ces backticks à l'aide de l'appel system() sans nécessiter de vérification ou de filtrage préalable.
22. Désactiver l'accès racine via SSH
Sauf en cas d'absolue nécessité, cette option doit être désactivée. Si vous ne prévoyez pas d'utiliser SSH pour vous connecter, il n'y a aucune raison pour un accès root via SSH et cela peut rendre votre système plus sécurisé !
Si vous souhaitez 6 autres choses que vous pouvez faire avec votre SSH, consultez notre article de blog sur Advanced Secure Shell.
23. N'utilisez pas "root" comme nom d'utilisateur
Même si la plupart des gens n'ont pas de problème pour se connecter avec leur nom d'utilisateur principal comme « admin », cela ne signifie pas qu'ils ne devraient pas changer les valeurs par défaut telles que admin ou test. L'utilisation de quelque chose d'unique aidera à protéger votre sécurité, si quelqu'un obtient le mot de passe root de votre fournisseur d'hébergement et tente de se connecter avec !
24. Activer l'authentification à deux facteurs
L'utilisation d'authentifications à deux facteurs peut aider à garantir que même si quelqu'un a la main sur cette combinaison nom d'utilisateur/mot de passe, il ne pourra pas y accéder sans avoir également une autre information, telle qu'une application d'authentification ou d'autres moyens.
25. Désactiver suPHP
Cela permet à toutes les applications PHP de s'exécuter en mode "suphp" de cPanel, ce qui n'est pas bon car il offre très peu de protection contre des éléments tels que la traversée de répertoires. Si vous avez besoin de quelque chose comme ça, cependant, assurez-vous d'utiliser plutôt Apache mod_security afin que la journalisation puisse toujours se produire correctement, tout comme suPHP. *****
Pourquoi la sécurité cPanel/WHM est-elle importante ?
cPanel et WHM peuvent être une porte ouverte sur votre serveur si vous ne prenez pas la sécurité au sérieux. S'il est exposé, les attaquants pourraient potentiellement y accéder et commencer à faire de très mauvaises choses.
C'est pourquoi il est important de prendre la sécurité au sérieux et de suivre les conseils ci-dessus afin de garantir que votre système est aussi sûr que possible !
Conclusion
En conclusion, il existe de nombreux autres trucs et astuces qui peuvent aider à rendre votre serveur cPanel/WHM beaucoup plus sûr à utiliser. Si vous suivez toutes ces étapes, même si quelqu'un parvient à compromettre quelque chose sur la boîte, il n'aura pas accès à tout. En effet, en suivant chacune de ces instructions, nous avons, espérons-le, limité ce à quoi un attaquant a accès à un moment donné, ce qui le gardera finalement à l'écart ! Si vous voulez en savoir plus
Connexes: 20 conseils de sécurité Joomla pour une sécurité solide contre les pirates.