La sécurité de mawebcom

Préambule

Le but de la sécurité d’un site n’est pas d’être 100% inviolable (c'est impossible) mais de mettre assez de bâtons dans les roues d’un hacker pour que le coût du piratage soit supérieur au gain de l’objectif à pirater et donc qu’il abandonne.

Un CMS qui a fait ces preuves

Un CMS (Content Management System) est un système de gestion de contenu, c’est un programme permettant de créer un site internet.
Il existe énormément de CMS libres, collaboratifs et open sources comme Wordpress (environ 40% des sites mondiaux sont fait avec Wordpress). Le point positif, si une faille est trouvée, vu qu’il y a des milliers de développeurs qui bossent sur ce projet, la faille sera corrigée très vite. Le point négatif, tout le monde connaît la faille, il est donc très facile pour quelqu’un de mal intentionné d’en profiter en piratant les sites n’étant pas à jour.

mawebcom utilise son le CMS entièrement créé par le webmaster et maintenu depuis plus de 15 ans. Environ 300 sites Internet ont été créé avec : ce qui a permis de corriger de nombreux bugs et empêché de nombreuses tentatives de piratages… À chacun de ces événements, nous avons fait évoluer le programme pour éviter que ces problèmes ne se reproduisent.

Le code n'est en libre service sur Internet, il est donc difficile de fouiller dans le code pour y trouver les failles.

HTTPS

Site avec une couche de chiffrement SSL entre le serveur et le navigateur, empêchant un intermédiaire de s'immiscer entre les deux. C’est désormais la base de tous les sites Internet désireux qu’on ait confiance en eux.

Protection des dossiers et fichiers

Chaque dossier du serveur est protégé par un htaccess qui interdit l’affichage d’un contenu de dossier. Cela évite que n’importe qui voit toutes les photos d’un administré juste en allant dans le dossier serveur.
Avec cette protection, pour voir une photo ou un fichier, il faut avoir obtenu l’url auparavant.

Protection contre le hotlinking

Le hotlinking est l’affichage des images depuis un autre site.

Cette technique ralenti énormément les performance du serveur.

Se connecter à un compte

Pour voir le contenu de mawebcom, il faut obligatoirement un compte.
Et pour se connecter à un compte, il faut s’inscrire.
L’inscription est protégée par un anti-robot.
Pour s’inscrire, il faut un email qui existe.

Accès aux comptes d’un administré

Pour voir le profil d’un administré, il faut obligatoirement avoir les droits d’administration sur ce compte ou faire partie de l’entourage mawebcom.
À vous de bien faire attention à qui vous donnez ces droits.
Ces droits peuvent être retirés à quelqu’un à tout moment.

RGPD

Depuis les dernières lois RGPD, il est imposé aux sites “traquant” ces visiteurs d’ajouter une bannière afin qu’ils acceptent ou non.
mawebcom n’utilise pas vos données personnelles à des buts commerciaux mais juste pour les statistiques du nombre de visiteurs sur notre plateforme, aucune données personnelles n’est donnée à un service tiers.

L’hébergement OVH

mawebcom est hébergée sur les serveurs d’OVH qui disposent d’énormément de dispositifs de sécurité qui évoluent régulièrement pour éliminer les risques :

  • détection et blocage des intrusions suspectent ;
  • anti-DDos (attaque des milliers de robots en même temps pour faire cracher le serveur) ;
  • firewall.

Sauvegardes

Chaque jour, OVH fait une sauvegarde complète du site chaque nuit (toutes les 24h). Au cas où une erreur humaine ou un bug fasse disparaître des fichiers, ces derniers pourront être récupérés s’ils datent d’avant le sauvegarde de la nuit.

La faille humaine

mawebcom ne peut rien fait contre la faille humaine à part vous prévenir :

  • ne donnez jamais votre login/mot de passe à qui que ce soit ;
  • ne donnez jamais des droits d’administrations aux personnes auxquelles vous n’avez pas encore confiance ;
  • ne donnez jamais des droits d’accès aux personnes que vous ne connaissez pas ;
  • ayez un mot de passe complexe (éviter : 123456; azerty, nom, année de naissance, le même que votre boîte de messagerie…) ;
  • n'écrivez jamais votre mot de passe sur un post-it ou un carnet…
La sécurité de mawebcom