Sommaire
Définition
L'outil LWS Protect vous permet de sécuriser en quelques clics faciles votre site web en personnalisant les règles de sécurités en place en amont du serveur web de votre formule d'hébergement.
Ces règles de sécurités sont effectifs dès l'arrivée du trafic en amont du serveur web, bien au délà d'Apache ou PHP, ce qui vous permet une forte économie de ressources et une efficacité accrue. Les requêtes HTTP(s) sont analysés par le pare-feu applicatif intégré à Fastest Cache, avant sa transmission auprès du serveur web et donc bien avant ModSecurity ou même vos plugins de sécurités.
Au délà de simple règles de sécurités comme le propose ModSecurity, LWS Protect utilise des outils d'analyses de réputations externes ainsi que des règles de sécurités développés en interne en réponses aux attaques identifiés par nos administrateurs systèmes. Un grand nombre de règles ont été déjà présentes depuis la première sortie de Fastest Cache, mais le module LWS Protect, introduit très récemment, permet leurs manipulations.
| Description | Recommandation | Valeurs possible |
| Règles génériques | ||
| Vérification navigateur sur les pages d'administrations courantes | Recommandé | Activé Désactivé |
| Bloquer les accès HTTP sur les dossiers de développement courantes | Recommandé | Activé Désactivé |
| Bloquer les accès HTTP sur les fichiers .php | A activer avec prudence | Activé Désactivé |
| Anti-DDoS aggressif | A activer avec prudence | Activé Désactivé |
| WordPress | ||
| WordPress : blocage xmlrpc.php | Recommandé Peut causer des problèmes de compatibilité |
Activé Désactivé |
| WordPress: Limiter le nombre de requêtes possibles sur /wp-admin et /wp-login.php | Recommandé | Désactivé 5 req/min 20 req/min 40 req/min |
| WordPress : blocage fichiers sensibles | Recommandé | Activé Désactivé |
| Bots | ||
| Bloquer/limiter les robots SEO | Désactivé Tout bloquer 5 req/min 20 req/min 40 req/min |
|
| Bloquer les faux Google Bot | Recommandé | Activé Désactivé |
| Bloquer les robots malveillants | Activé Désactivé |
|
| Bloquer les User-Agent vides | Recommandé | Activé Désactivé |
| Réputation IP | ||
| Bloquer les IPs malveillants | Recommandé | Activé Désactivé |
| Bloquer le réseau Tor | Activé Désactivé |
|
Contrairement aux plugins de sécurité fournis sur les CMS, LWS Protect agit en amont du serveur web, avant même que PHP ne puisse s'exécuter. Au contraire, les plugins de sécurité des CMS nécessitent que PHP soit en exécution et qu'au moins une partie du CMS a démarré. Ce qui rend chaque requête coûteuse en ressources et affecte donc négativement la performance des autres visiteurs du site. Certes, pour un petit site, ce problème peut être discret et transparent, mais à une échelle plus grande, vous risquez de saturer votre formule d'hébergement web, notamment si vous avez beaucoup de visiteurs simultanées et que ceux-ci accèdent tous à des éléments dynamiques (= nécessitent l'exécution de PHP).
LWS Protect résout ce problème en filtrant les requêtes en amont du serveur web, donc avant l'exécution de PHP et avant le démarrage du CMS, avant même que le serveur web ne fasse quoi que ce soit. Ainsi, en supposant par exemple que vous avez 1000 visiteurs simultanés sur votre site WordPress et que 50% d'entre eux sont malveillantes, vous évitez donc 500 exécutions de votre CMS et 500 exécutions de PHP. Vous économisez à la fois de la mémoire vive, de nombre de requêtes MySQL et vous empêchez que ces visites malveillantes ne puissent affecter la performance de vos vrais visiteurs.
Procédure
Les règles de sécurité proposés par LWS Protect sont regroupés sur différentes catégories en fonction de leurs périmètre d'action :
Chaque règle de sécurité dispose au minimum de deux états : actif et inactif. En activant certaines règles, il vous est possible d'affiner ses paramètres :
Les règles sont actifs instantanément et sont compatibles avec tous nos autres outils d'optimisation de performance : Fastest Cache, LiteSpeed et Ipxchange.
Règle recommandée.
Cette règle mets en place une vérification préliminaire lors de l'accès aux pages d'administrations courantes (wp-admin, administrator, admin*, wp-login.php, ...) afin de bloquer les outils se faisant passer pour un navigateur web.
La vérification se fait par l'envoi d'une action à faire par le navigateur web. Par exemple, si LWS Protect détecte l'user-agent d'un navigateur qui devrait savoir prendre en compte un cookie, il demandera au navigateur de garder un cookie aléatoire qui sera vérifiée à la prochaine requête. Si le cookie n'est pas gardé, alors la requête va être refusée.
Règle recommandée.
Cette règle empêche l'accès HTTP aux dossiers de développement courantes, tels que les fichiers .sql, et dossiers .git, les fichiers .env. Ceci permet d'éviter une fuite d'information au cas où vous avez oublié de supprimer un fichier de sauvegarde .sql par exemple, sur votre site Internet, pendant votre phase de conception.
A activer avec prudence. Incompatible avec WordPress.
Cette règle bloque l'accès directs aux fichiers .php en empêchant l'accès à tous les URL ayant le terme ".php", ce qui empêche tout contournement possible aux réécritures d'URL que vous avez défini dans votre fichier .htaccess.
A activer avec prudence.
L'anti-DDoS aggressif effectue une vérification préliminaire sur tous les requêtes HTTP effectués sur votre site web sans exception. Le mécanisme, identique au mécanisme de vérification navigateur des dossiers administrateurs, empêche ainsi les robots automatisés d'atteindre votre site web.
A activer avec prudence. Peut causer des problèmes avec certains plugins WordPress.
Bloque systématiquement l'accès au fichier xmlrpc.php avec une erreur 403. Un fichier qui fut utilisé pour effectuer des requêtes API à WordPress, elle est aujourd'hui largement remplacé par wp-admin/admin-ajax.php. Toutefois, elle est gardée pour la rétrocompatibilité avec des outils qui reposent toujours sur xmlrpc.php.
Recommandée et actif par défaut à 20 requêtes/minutes
Cette règle limite le nombre de requêtes qu'une adresse IP peut effectuer sur wp-admin et wp-login.php. Le compteur de requêtes est commun pour tous les sites web de notre parc, seul le seuil de blocage est propre à chaque site web. Ceci permet de bloquer deux types d'attaques avec une seule règle : les attaques bruteforce ciblant un seul site web, ainsi que les attaques bruteforce ciblant un grand nombre de sites web.
Le compteur étant commun, il vous sera nécessaire d'ajuster ce seuil de blocage selon le nombre de sites que vous hébergés et que vous accédez en simultanée. Si vous avez plusieurs sites et que vous ouvrez le tableau de bord simultanément sur un seul PC, il est fortement probable que vous deviez ajuster le seuil de blocage pour éviter de se faire bloquer.
Une erreur 403 est affiché quand le blocage est effectif, et le déblocage se fait dès que le nombre de requêtes effectués par l'adresse IP sur les derniers 60 secondes passent à nouveau en dessous du seuil de blocage.
Recommandé et actif par défaut
Cette règle empêche l'accès aux fichiers et chemins sensibles de WordPress. Elle empêche, entre autre, l'exécution de fichiers .php dans le dossier d'upload de WordPress et dans le dossier wp-includes, diminuant ainsi le risques de dégâts suite à une intrusion ou une infection de virus sur votre site.
Bloquer ou limiter le nombre de requêtes par minute que les robots SEO tels que Ahrefs, Semrush et Majestic peuvent faire. Les robots sont identifiés grâce à leurs User-Agent et/ou leurs adresses IP.
Recommandé.
Permet de bloquer les faux Google Bot. La détection des faux Google Bot est effectuée grâce à son adresse IP, l'User-Agent fourni et le reverse DNS. Les données sont ensuites comparés avec les informations fournies par Google lui-même concernant ses bots, et si un élément est incohérent, le blocage se manifeste avec une erreur 403.
Bloque les robots malveillants répertoriés sur les listes noires publiques de robots. Les robots sont identifiés comme malveillantes ou non grâce à son adresse IP et/ou son User-Agent. Une erreur 403 sera alors affichée.
Recommandé.
Bloquer la requête quand l'en-tête HTTP "User-Agent" est vide. Ceci se produit souvent avec les configurations par défaut des outils de scans de vulnérabilités utilisés par les pirates. Une erreur 403 sera alors affichée.
Recommandé et actif par défaut.
Cette règle bloquer l'accès au site web par les adresses IPs rapportés comme malveillants. Nous utilisons plusieurs bases de données publiques pour identifier les adresses IPs malveillantes. La réputation d'une adresse IP est gardée jusqu'à 24 heures dans nos enregistrements. Une erreur 403 sera alors affichée si l'adresse IP a mauvaise réputation.
Cette règle permet de bloquer l'accès à votre site web depuis le réseau Tor. La détection du réseau Tor est effectuée grâce à l'identification de l'adresse IP dans la base de données publique des Tor Exit Nodes. Une erreur 403 sera alors affichée si l'adresse IP figure dans la liste.
Pour aller plus loin
Afin de visualiser les blocages effectués par LWS Protect, rendez-vous sur LWS Protect, sélectionnez le nom de domaine que vous souhaitez consulter (1) et cliquez sur "Logs" (2) :
Choisissez la période dont vous souhaitez consulter et cliquez sur "Consulter" :
Les données seront alors chargés, ceci peut prendre quelques minutes :
La page s'actualisera automatiquement dès qu'il y a une évolution sur votre requête. Une fois la requête accomplie, la page affichera le contenu du fichier log correspondant à la demande :
Notez cet article :
5/5 | 1 avis
Cet article vous a été utile ?
Oui
Non
9mn de lecture
Comment installer un certificat SSL payant sur cPanel facilement ?
6mn de lecture
Sécuriser votre site internet avec ModSecurity sur votre formule cPanel
10mn de lecture
Comment utiliser le Firewall sur cPanel pour autoriser ou bloquer des IP ?
9mn de lecture
Comment activer un certificat SSL Let's Encrypt sur cPanel ?
À propos de LWS :
LWS est un hébergeur web 100% français, qui mise tout sur la qualité, l'innovation et propose un service technique réactif et compétent à prix accessibles.
Contactez-nous
Espace client
Visitez LWS
Article lu 2060 fois
Merci ! N'hésitez pas à poser des questions sur nos documentations si vous souhaitez plus d'informations et nous aider à les améliorer.