L'Importance de mettre son blog, CMS... à jour !

[docemmet]

Je me présente, Mathieu Lessard. Je travaille pour une entreprise qui fait de l'hébergement web au Québec, du commerce électronique, du référencement, de la conception web...

Samedi passé, je recois un avis me disant qu'apache est arrêté. Je redémarre... depuis quelques temps, le serveur était au ralentit sans raison apparente. Dimanche... encore pire. Au 10 minutes arrêté. Puis lundi, l'enfer total...

C'est seulement hier que nous avons réussis a tout repartir, après des journées de 24h de travail à plusieurs. Les bases de données contenait des messages de porn, des virus... certains fichiers avaient été placé sur le serveur pour en prendre littéralement TOTALEMENT le controle. Au moins une dizaine de ces fichiers ont été trouvé, tous encrypté en php (pour faire une recherche sur votre serveur, cherchez ceci: eval(base64_decode( )

Tout ceci à cause de blog non mis à jour, de CMS passé date...

Tout est revenu à la normal, mais je suis TELLEMENT content de n'avoir JAMAIS stocké AUCUN numéro de carte de crédit dans notre système. Ainsi, même si on se fait 'hacké' les deux pires possibilités c'est d'être formaté, ou d'être utilisé pour spammer.

Petite tranche de vie que je jugeais TRÈS importante de partager...

Cloudflare nous aide beaucoup présentement.

Pour ceux qui connaisse l'anglais, voici l'importance d'un système à jour: http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/

Matt

 

[zeb]

une entreprise qui fait de l'hébergement web
(...)
Tout ceci à cause de blog non mis à jour, de CMS passé date...

Tu est en train de dire que tu héberge des blogs pour des tiers et qu'un compte utilisateur a permit de remonter a un contrôle root sur le réseau ?
Si tel est le cas c'est ta responsabilité qui est en cause plus que la négligence de l'utilisateur :wink: .

 

[docemmet]

Ce n'est pas notre responsabilité de vérifier tout les comptes blog. Si un client ne met pas à jour le wordpress de son blog, ou s'il utilise un mot de passe stupide (genre chat)... je peux pas jouer à la maman avec tout les clients

de toute facon, le conseil reste bon pour tout le monde... à la base, les utilisateurs de blog non updaté sont les pire quand même...

 

[padadam22]

N'empêche qu'il y a apparement un gros problème de sécurité et d'adminsitration du serveur.
Qu'un compte utilisateur soit planté ou supprimé par un hacker à cause d'un script pas à jour, c'est de la faute de l'utilisateur, mais prendre le contrôle du serveur complet, c'est de la vôtre.

 

[Marie-Aude]

+1 avec les deux

essaye donc de remonter sur un compte root avec un mutualisé ovh ou 1&1

 

[StefouFR]

C'est un topic pour faire de la PUB pour Cloudflare.

Ils n'arrêtent pas et ont voient ça sur d'autres forums qui parlent de sécurité...

 

[padadam22]

Ah, on s'est bien fait avoir

A la poubelle !

Oh ! Joli ton avatar, Marie-Aude. :mrgreen:

 

[Marie-Aude]

Oh ! Joli ton avatar, Marie-Aude. :mrgreen:

si il plait je le garderai

 

[padadam22]

:lol: Ca me flatte :lol:

 

[zeb]

C'est un topic pour faire de la PUB pour Cloudflare.

C'est pas mal comme accroche genre tu prend un mutu chez eux a deux centimes et tu te retrouve avec un cluster de bécanes pour ton plaisir perso

 

[B-vibes]

Ce n'est pas notre responsabilité de vérifier tout les comptes blog. Si un client ne met pas à jour le wordpress de son blog, ou s'il utilise un mot de passe stupide (genre chat)... je peux pas jouer à la maman avec tout les clients

Non mais tu peux partir du principe que tes clients te considèrent comme fiable et que beaucoup d'entre eux ne savent pas ce qu'ils font.
Quand un script change ou qu'un fichier est ajouté dans un folder avec CMS, il est aisé de recevoir un mail.
Les mises à jour du CMS ne suffisent pas, donc un monitoring des extensions et de leurs upgrades paraît évident également.
Et de façon autoritaire, comme une maman.

de toute facon, le conseil reste bon pour tout le monde... à la base, les utilisateurs de blog non updaté sont les pire quand même...

Donc si tu les connais, tu adaptes ta politique de sécurité en conséquence. Les Checklists de sécurité abondent.

Si les utilisateurs des sites que tu héberges sont des ignorants irresponsables, manipulés, bipolaires, pervers et non éducables, tu dois en tenir compte :mrgreen:

Mes remarques vont dans ton sens (upgrade, upgrade, upgrade) et si je dis tout ça c'est parce que des serveurs hackés, j'en ai eu pas mal et que ça fait longtemps que je n'en ai plus eu. Par contre avant je m'habillais bien et j'avais des amis, maintenant j'ai une barbe, un sous-pull et je ne mets que des bas de pyjamas.

 

[B-vibes]

ah zut j'avais pas vu que c'était un post tout crado à la base mais on peut utiliser du compost pour faire de beaux légumes.

 

[zeb]

Par contre avant je m'habillais bien et j'avais des amis, maintenant j'ai une barbe, un sous-pull et je ne mets que des bas de pyjamas.

J'savais bien que j'étais pas seul :lol: