janvier 2019
L M M J V S D
« Août    
 123456
78910111213
14151617181920
21222324252627
28293031  

Hacké ou pas hacké, telle est la question!

Ceci n’est pas une énième tentative de vous faire peur, mais juste des astuces dont certaines conjuguées avec notre produit phare website-watcher.fr afin de vous éviter de vous disperser au lieu de vous concentrer sur votre vrai métier.

En effet, comme les hackers généralement ne sont pas assis devant leurs écrans mais laissent le soin à des programmes de perpétrer des attaques, vous ne serez pas averti quand ils se lancent.

Donc, afin d’être pro-actif :

  1. Visitez votre site régulièrement, au moins une fois par jour (automatisable via Website-Watcher.fr)
  2. Recherche de votre site dans Google (automatisable via Website-Watcher.fr)
  3. Recevez des alertes courriel via Google Search Console
  4. Scanner votre site pour des Malware, code malfaisant en local ou à distance et alertes par courriel
  5. Si un client vous dit que vous avez été hacké, priorité absolue
  6. Paramétrez Website-Watcher.fr pour tous changements
  7. Tout pic de trafic doit être investigué immédiatement
  8. On en parle jamais assez : Back Up ! Oui Back Up!

Les conséquences peuvent être lourdes : Votre hébergeur peut mettre votre site « off line ». Vos utilisateurs, voire clients recevront des alertes de Google. Vous perdrez de facto votre SEO…

Vous pouvez encore nous envoyer votre URL pour un diagnostic gratuit et non intrusif 🙂

Tout ce que vous avez voulu savoir sur HTTPS et les en-têtes de sécurité

Vous utilisez de l’hébergement mutualisé (shared Hosting), il se trouve que TLS devient de plus en plus complexe. C’est là l’objet de cet article:

Security Headers

Code: Get-HttpSecHead -url https://www.wpaas.fr -log y
Nous allons suivre ces préconisations de sécurité, bien sûr.

En effet la notion de Server Name Indication (SNI) des sites HTTPS hébergés sur un même serveur voire cluster est un challenge perpétuel si on ne peut pas tweaker la configuration de Apache, LightSpeed etc. et/ou manipuler .htaccess.

Dans la lumière de ce qui précède, nous avons ces éléments à configurer :

  • HSTS (Strict-Transport-Security)
  • HPKP (Public-Key-Pins)
  • Disabling content sniffing (X-Content-Type-Options)
  • XSS protection (X-XSS-Protection)
  • Clickjacking mitigation (X-Frame-Options in main site)
  • Expect-CT

Voici une brève explication de ces termes :

HSTS est utilisé pour garantir que les futures connexions à un site Web utilisent toujours TLS et ne pas autoriser les contournements de certificats pour le site.

HPKP est utilisé si vous ne souhaitez pas vous fier uniquement au modèle de confiance de l’autorité de certification pour l’émission de certificats.

Désactiver le content sniffing est surtout intéressant pour les sites qui permettent aux utilisateurs de télécharger des fichiers de types spécifiques, mais les navigateurs peuvent être assez perméables pour interpréter un autre type, permettant ainsi des attaques inattendues.

La protection XSS réactive la protection XSS pour le site, si l’utilisateur l’a déjà désactivée, et définit l’option «bloquer» pour que les attaques ne soient pas silencieusement ignorées.

La protection contre les Clickjacking n’est généralement pertinente que lorsque quelqu’un est connecté mais que les utilisateurs l’ont demandé, probablement parce qu’ils ont un contenu riche en dehors de l’authentification WordPress qu’ils souhaitent protéger.

Expect-CT est utilisé pour s’assurer que la transparence du certificat est correctement configurée.

Si vous souhaitez un mini audit gratuit de votre site WordPress, envoyez-moi un message en privé, cela va de soi :

Formulaire de contact : https://wpaas.fr/contactez-nous/

Ou par FaceBook: https://www.facebook.com/WPaaS.fr/

Par Messenger : m.me/WPaaS.fr

Le couteau Suisse de votre blog WordPress

Nous avons fait une étude sur nos diverses interventions ainsi que les sollicitations de nos clients qui viennent de divers continents.

Il se trouve que le plus souvent, c’est l’audit qui prédomine.

Ce qui se traduit par :

Nomenclature
Audit235
Assainissement192
Conseil23
WPaaS5
Divers41
Total496

Je trouve qu’il vaut mieux prévenir que guérir. En effet, protéger un site propre de Malware, Virus et considérer les directives du RGPD du 25 Mai rendent l’opération un peu moins compliquée.

Nous ne sommes pas des commerciaux, mais des professionnels qui croient que tout travail mérite salaire. Quoique, notre travail est un peu notre passion…..

En se référant au tableau plus haut, et si on passe du temps pour chaque opération/demande « à la carte », ça commence à chiffrer……

Que diriez-vous d’un package clair, sans tabou, ni de coûts cachés, paiement par PayPal d’un prestataire avec une existence en Europe et les Etats Unis depuis 1995 ?

Si vous avez des questions, n’hésitez pas à prendre contact avec nous:

Formulaire de contact : https://wpaas.fr/contactez-nous/

Ou par FaceBook: https://www.facebook.com/WPaaS.fr/

Par Messenger : m.me/WPaaS.fr

Ne soyez pas pris par surprise:

Protégez-vous pour ~ Un Euro / jour:

Au plaisir,

wp-tmp.php kesako?

Si vous décrouvrez wp-tmp.php dans wp-includes/ et dont le contenu pourrait correspondre à ceci:

$anx=’26e54abe121cd3d9c8ef7a93ac3be158′;

il a des fortes probabilités que vous trouverez aussi: wp-vcd.php, wp-tmp.php et wp-feed.php

Cela veut dire que votre site WordPress est infecté. Je ne peux malheureusement pas vous donner *un* scénario générique car l’étendu des dégats peut juste se jouer à une supression de ces fichiers ou une réinstallation du Thème ou Extention qui a introduit ces malware/backdoor sur votre/vos site/s et/ou une restauration à partir de votre backup…..

On peut aussi faire un audit de votre/vos site/s.

Quoiqu’il en soit, il faut agir!

Bon courage à vous. Je reste à l’écoute!

Avoid the « Not Secure » Warning in Chrome

Google Chrome triggers Not Secure warning for non HTTPS

Did you get an email from Google Webmasters Tool saying that they will start showing your website as « Not Secure » in July 2018?

This has caused a lot of panic among users, and we have been getting tons of emails on this topic. Don’t worry, we got your back, and we have a fix.

Google announced that their Chrome Browser will mark all websites without a SSL certificate as « Not Secure » in July 2018.

This announcement was made last year, but most people didn’t pay much attention to it until recently. But the good news is that it’s now easier than ever to switch from HTTP to HTTPS.

All you need to do is install a SSL Certificate. A lot of the top WordPress hosting companies are offering free SSL certificates for their users.

So there’s a very good chance that you already have it for free.

Simply follow guides on the Internet. But if you have cPanel Hosting, we do offer a professional installation service for a standard fee. Otherwise, we can give you a quote to unravel this and you’ll be good to go.

Pay Standard Fee with cPanel paypal.me/cisware/47

Email us at [email protected] for a quote.

All product names are registered trademarks of their respective manufacturers.

Copyright © 1995 – 2018 Certified Internet Solutions Group of Companies

Top Tools for Security Analysts in 2018

Vous êtes anglophiles et anglophones, voire anglomanes?

Les dés sont jetés. Rien ne va plus, les jeux sont faits! La bureautique en tant que franco-français peut se maîtriser assez rapidement. *Mais* quand on tombe dans la sécurité inter-alia il vaut mieux maîtriser l’anglais car il y a des termes, des expresions, des faux amis, des contre-sens, des antonymes et j’en passe!!!!

Ceci dit et si vous ne vous retrouvez plus, WPaaS peut palier à cette éventualité en se positionnant à toutes les couches hautes du modèle OSI.

Vous conviendrez que nos compétences ne s’arrêtent pas aux couches hautes, nous maîtrisons complètement les couches matérielles.

Architecture en couches

Revenons au sujet du jour, voici une pléiade d’outils de sécurité orientés WordPress:

Hacks non intrusifs

Hack de Google: https://www.exploit-db.com/google-hacking-database/

Chercher et analyser IoT : https://www.shodan.io/

Consolidation de courriels, sites www, comptes Réseaux Sociaux etc. https://www.paterva.com/web7/

Penetration Testing

Burp Suite and OWASP’s Zed Attack Proxy

sqlmap  – Injection SQL 

WPScan – NB. Ayant Tor comme compagnon  – Audit de sites WordPress

Forensics & Analyses de Logs

Highlighter est un outil graphique d’analyse de logs à la veille d’une attaque….

lnav Très bon analyseur de logs orienté Mac et Linux

Splunk Orienté Entreprise

Invite de commandes (cmd ou sh) Linux Shell Survival Guide & PowerShell Cheat Sheet

Malware

Vous pensez avoir des fichiers php infectés: UnPHP

Pour automatiser des taches répétitives et ennuyantes : CyberChef

Pour minimaliser du JavaScript (outil disponible pour le bon, la brute et le méchant) JS Beautifier

Divers outils

Outil nécessaire pour écrire des expressions dans du code complexe Regex101

Vérifiez si vous avez été « piraté  Have I Been Pwned

Protection contre des scripts malfaisants NoScript

Un firewall au niveau de FireFox et Chrome: uMatrix

Conclusion

À travers un cas concret de projet sécurité d’une entreprise, ce retour d’expérience permet d’illustrer l’importance d’une adaptation de la sécurité informatique afin de répondre aux nouvelles menaces qui pèsent sur nos systèmes d’information et de communication.

L’ouverture excessive des systèmes d’information a conduit les entreprises à contrôler les accès aux services de communication ; mais les nouvelles menaces informatiques ciblent désormais l’information, car une fois franchie la barrière d’accès, les données non structurées sont peu protégées. Il faut reprendre le processus de sécurité car il semble que nous ayons renoncé au contrôle sur les données, et nous devons, à partir d’une analyse des risques, définir une sécurité pour les données au repos, et assurer les fonctions d’usages sur les données en mouvement.

La mutation de nos systèmes d’information doit aboutir à une stratégie de sécurité sur les données sensibles en adéquation avec une stratégie de sécurité sur les échanges.

Nous vous conseillons fortement d’établir une chartre d’analyse de sécurité et faire adhérer votre personel.

Certains de ces outils sont dangereux et ne ciblez pas des sites dont vous n’en êtes pas responsable, mandaté etc.

Tracking Emerging Cryptomining Threats

Today on the Wordfence blog, one of our threat analysts describes in detail how he tracked down an emerging infection we are seeing that targets WordPress sites. The attacker installs their own malicious code, which uses your web server’s resources to mine cryptocurrency.

In the post, James describes how we reverse engineer malware to add detection capability to the Wordfence security scanner. By reading the post you can get a real sense of how real-time the process is and how we prioritize getting that detection capability to our Premium Wordfence customers as fast as possible.

This post is definitely a fun read if you are interested in emerging WordPress threats, like cryptocurrency miners, and how our threat analysts do their jobs.

You can find the full post on the official Wordfence blog…

WPaaS – Kesako

Voilà, vous avez un métier, voire un business et vous ne voulez pas ou ne pouvez pas en plus vous adonner à jouer à du codage en PHP etc. WordPress As A Service (WPaaS) est né pour cette raison. WPaaS intervient globalement et peut d’ores et déjà se présenter comme des experts dans les domaines suivants :

  1. Activités liés au nom de domaine (réservation, acquisition en *votre* nom, Gestion de DNS)
  2. Certificat SSL (https)
  3. Hébergement (à la carte)
  4. Installation de WordPress ou autre CMS (Gestion de Contenu), HTML5
  5. Paramétrage effectif du site
  6. Sécurité du site
  7. SEO
  8. Mise à jour et Maintenance du site
  9. Délégué à la protection des données personnelles (DPO) parmi les mesures majeures de RGPD (ou GDPR)
  10. Réversibilité et passage de connaissances….
  11. Migration éventuelle
  12. (liste non exhaustive)

Malgré que l’on soit une entreprise, nous chez WPaaS ne sommes pas des vendeurs. Donc, on fonctionne à la carte, vous nous sollicitez pour tel service c’est comme au restaurant. On ne va pas pousser tel ou tel service connexe, à moins que vous nous demandiez un site *sans* https. En effet, vu le coût d’un certificat SSL de nos jours, on vous en parlera le moment venu car là c’est notre devoir de conseil. Il va de soi que certains services sont de facto inclus et ne sont pas facturés en sus.

Nous allons essayer de mettre en ligne un formulaire et qui vous guidera dans vos choix. En attendant, faites nous un courriel svp à ootp [at] cisware.com décrivant ce que vous souhaitez.

Vous pouvez également cliquer sur l’icône Messenger en bas, à droite de votre écran pour prise en compte interactive.

Au plaisir,

Powered by CloudFlare

العربية العربية 简体中文 简体中文 Nederlands Nederlands English English Esperanto Esperanto Français Français Deutsch Deutsch Italiano Italiano Português Português Русский Русский Español Español