Suspiscion d'intrusion
Lors de mon premier mois à babylon, nous avons fait face à de nombreuses difficultés. Le site a subitement arrêté de fonctionné, et ce à plusieurs reprises. Par chance, les bases de données ont pu être récupérées car nous faisions des sauvegardes régulièrement. Outre le contenu, les données (mise en page, javascript …) ont été perdues. En l’espace de quelques heures et 3 personnes nous avions dû recréer les mises en page.
Depuis plus d’un mois et demi maintenant, aucun nouveau “crash” de ce genre n’a posé problème.
Sans aucune certitude mais grace aux connaissances de Anna et au soutien de notre hebergeur, nous estimons ces difficultés causées par une faille de sécurité, un hack provenant de l’extérieur.
Une des premières portes d’entrées pour un hacker étant les plugins, nous avons commencé par trier ces derniers. Nombre d’entre eux ont été supprimés car inutilisés. Nous nous assurons aussi à la mie à jour des plugins conservés et du thème utilisé (blocksy).
Des sauvegardes régulières
Lors de la première faille de sécurité, uniquement le contenu récent avait été supprimé. Par chance, nos sauvegardes sur Updraft plus nous ont permis de les récupérer facilement.
La seconde a été plus laborieuse, avec accès interdit à WordPress. L’erreur indiquait un problème provenant de l’hebergement mais un coup de téléphone a suffit à comprendre que l’incident ne provenant pas de chez eux. Il constitua alors notre première grosse frayeur. Anna s’est chargé de restaurer la base de données et l’applicaation wordpress et j’ai pu me charger de la mise en page.
Le troisième incident a été provoqué par la surcharge de l’espace disque. Après avoir supprimé quelques sous-domaines, et de nombreuses souvegardes, les informations ont été de nouveau accessibles.
Desormais, nous nous assurons d’avoir tous nos plugins à jour (deux fois par semaine), de conserver un espce disque en deça de 80%, et de réaliser toute les semaines une sauvegarde COMPLETE du site grace à Migrate Guru, un plugin de clonage.
Sécurité renforcée
Cherchant à réduire au maximum les plugins (si une autre solution s’offre à nous), la solution de sécurité pour l’ensemble des headers du site sera intégrée en Apache dans le fichier htaccess.
A l’origine inexistante, les
Nous utiliserons deux logiciels différents de vérification des modules de sécurité :
securityheaders.com et penester dont les résultats avant/après sont visibles ci-dessous.
Si Securityheaders fournis des informations satisfaisantes, Pentester est quant à lui beaucoup plus nuancé. Les résultats n’ont pas (ou peu évolué) et ont l’air toujours assez critiques.
Cette mission fait partie de mes tâches pour la prochaine semaine, en collaboration avec la nouvelle stagiaire Albane actuellement en bts cybersécurité.
Voici la proposition de code pour l’ensemble des modules de sécurité dont uniquement les trois premières lignes sont intégrées (après vérification et tests)
Header set X-Content-Type-Options nosniff
Header set Referrer-Policy: no-referrer
Header always set X-Frame-Options DENY
Header set Content-Security-Policy “default-src ‘self'”
Header always set Content-Security-Policy “upgrade-insecure-requests;”
Header set Strict-Transport-Security “max-age=31536000;includeSubDomains;”
Header set X-XSS-Protection “1; mode=block”
Header set Feature-Policy: “geolocation none”