Protégez votre site web avec cette simple astuce

Protégez votre site web avec cette simple astuce

Après quelques semaines de pause, je reviens en pleine forme avec une série d’articles prêts à être publiés et plusieurs articles invités en préparation. C’est reparti les doigts dans le net !

Savez-vous qu’il est très facilement possible à n’importe qui de voir les fichiers qui composent votre site si vous ne les empêchez pas de faire ? Il s’agit d’une faille de sécurité au sein de votre site, qui permet à des personnes malveillantes de se balader sur votre serveur, étudier vos fichiers, voir leur contenu (et donc les voler) et trouver des informations sensibles.

En fait, le hacker en herbe n’a rien de très compliqué à faire : il suffit de taper l’url de l’un de vos dossiers. Je vous montre comment.

Par exemple, si je fais un clic droit sur une image de mon site et je clique sur « ouvrir l’image dans un nouvel onglet ».

L’image s’affiche (on s’y attendait un peu), et dans la barre d’adresse se trouve l’url de cette image, bien visible:

url image wordpress

Sur WordPress, les images ont souvent une url de ce type : http://monsite.fr/wp-content/uploads/monimage.png

Ce qui veut dire que l’image monimage.png se trouve sur le serveur qui abrite monsite.fr, dans le dossier « uploads », lui-même inséré dans le dossier « wp-content ». Vous suivez toujours ?

Si vous effacez monimage.png de la barre d’adresse, et cliquez sur « entrée », vous demandez au navigateur de vous afficher le contenu du dossier « uploads »…et vous pourrez ainsi obtenir un listing de tous les fichiers inclus dans ce répertoire.

Si vous, vous ne sauriez pas quoi en faire, il existe des personnes mal-intentionnées qui sauront en tirer profit.

Ouhlà, ça sent mauvais cette histoire ! Mais comment se protéger ?

Rassurez-vous, la manipulation pour vous protéger est assez simple (en fait il en existe plusieurs mais je vais vous montrer la plus facile). La seule condition est de savoir vous servir d’un logiciel FTP. Et si vous ne savez pas, et bien il est temps d’apprendre. 😉 Je vais vous guider pas-à-pas.

Le principe : comment protéger vos fichiers ?

Tout d’abord, il faut comprendre que si votre navigateur accepte d’afficher la liste de son contenu, c’est parce qu’on ne lui a pas dit d’afficher autre chose. Et oui : c’est bête un ordinateur, ça fait ce qu’on lui dit.

A nous donc de :

  • soit lui interdire d’afficher son contenu ; on montrera un message du type « il est interdit d’accéder à ce répertoire » à la place (c’est une bonne solution mais plus complexe à mettre en place)
  • soit lui donner un fichier à ouvrir par défaut (c’est ce que nous allons faire)

Un navigateur va toujours préférer ouvrir un fichier HTML plutôt que d’afficher la liste des fichiers qu’il contient. C’est un comportement par défaut : c’est à dire que vous n’avez rien à faire pour que ça marche (excepté lui donner un fichier). En fait, pour être précis : ce fichier HTML doit s’appeler index.html.

Notre manipulation va donc consister à envoyer dans chaque répertoire un fichier nommé index.html. Ainsi, si quelqu’un essaye d’accéder à http://monsite.fr/wp-content/uploads/ il sera automatiquement redirigé vers http://monsite.fr/wp-content/uploads/index.html

La manipulation pour empêcher la visualisation de vos fichiers

1/Préparer le fichier index.html

Si vous voulez faire simple, créez simplement un fichier dans notepad et copiez-collez ce code :

<html>
<body></body>
</html>

Ensuite, enregistrez-le et nommez le index.html (il faut que vous affichiez les extensions sur votre ordinateur pour être sûr que votre fichier est bien de type .html et non .txt).

Pour aller un peu plus loin, vous pouvez y insérer un message, voire même une image.

Cliquez ici pour télécharger une page index.html (aucune inscription requise : la page s’ouvre, et vous n’avez qu’à faire un clic droit dessus puis « Enregistrer sous »).

2/Lancer Filezilla (logiciel FTP) et vous connectez à votre serveur

Avant de chipoter sur votre serveur en FTP, faites toujours une sauvegarde de votre site pour vous protéger en cas de mauvaise manipulation !

Téléchargez Filezilla sur le site officiel et installez-le.

Lancez-le et inscrivez les 3 identifiants FTP de votre site : hôte, login et mot de passe dans les endroits prévus:

3 identifiants pour se connecter en FTP

Ces données vous ont été envoyées par votre hébergeur lors de l’achat de votre hébergement.

3/Envoyer le fichier sur votre serveur

envoyer le fichier en ftp

  • Dans la zone 1, trouvez le dossier contenant le fichier index.html. Dans mon exemple, le fichier est sur le bureau.
  • Dans la zone 2, sélectionnez le dossier dans lequel vous souhaitez placer le fichier index. Ce dossier sera alors protégé de toute visualisation. Il s’agit de « upload » dans l’exemple.
  • Dans la zone 3, sélectionner le fichier avec un clic droit.
  • Cliquez sur Envoyer
  • Le fichier se retrouve dans la zone 5 (si vous ne le voyez pas, clic droit sur la zone et « actualiser »).

4/Testez que vos dossiers sont à présent inaccessibles !

Si vous tapez l’url http://lesdoigtsdanslenet.com/wp-content/uploads/, vous arrivez sur une page blanche. Votre site est protégé !

Image courtesy of Bridget AMES https://www.flickr.com/photos/ladybeames/2896787167

A propos de MarieEve Louvel

Depuis 3 ans, je partage mes connaissances sur ce blog, pour les entrepreneurs désireux de créer leur site vitrine et/ou leur blog professionnel avec WordPress. Mon expérience professionnelle va de l'accompagnement à la formation, en passant par de la création de site ou de logiciel. Retrouvez mes cours en ligne sur mon site FeelWeb Formation [http://feelwebformation.com]

14 commentaires

  1. Merci beaucoup pour votre article, toujours très utile 😉
    Je veux juste faire une petite contribution, il y a aussi une méthode simple à faire pour corriger cette faille, c’est en insérant sur le fichier .htaccess
    IndexIgnore *
    De cette façon, il y a plus manière de lister les fichiers d’un dossier de votre site web.

    Répondre
      • Désolée, je ne sais pas comment utiliser cette autre façon de faire…
        Où dois-je introduire cette commande
        IndexIgnore README .htaccess *~
        Merci de votre patience

    • Merci pour ces tutos… mais !?
      Mais j’ai déjà un fichier index sur mon site (la page d’accueil).
      Je la renommer ? Et, dans ce cas, comment faire pour que mon site s’ouvre quand même sur cette page d’accueil ?
      Merci de votre aide

      Répondre
      • Il faut activer les extensions de vos fichiers dans Windows pour distinguer index.php et index.html.

      • Le fichier index à la racine n’est pas à modifier, le site ne serait plus consultable.
        C’est dans les sous-dossiers qu’il faut ajouter une page index qui affiche une page blanche, pour éviter que le contenu du dossier ne soit listable dans le navigateur.

    • Bonjour,

      Merci pour votre article !

      J’ai testé la méthode suivante qui fonctionne aussi très bien:
      En fin de fichier, rajoutez la ligne de code suivante :
      Options All -Indexes

      Cela évite également de lister les fichiers d’un dossier.

      Bonne journée

      Sadou

      Répondre
  2. Y a quand même beaucoup plus simple et beaucoup plus efficace, à mettre dans le .htaccess à la racine du site :
    Options -Indexes

    Répondre
    • Efficace oui mais dans certains cas, je préfère cette astuce (on ne travaille pas toujours sur wordpress, le fichier htacess n’est pas toujours accessible…).

      Répondre
  3. Merci Marie-Ève pour le truc.
    Très apprécié.

    Céline

    Répondre
  4. Bonne astuce à savoir! Je partage sur Tweeter!

    A+

    Répondre
  5. Bonjour joli article ! merci ça va me rendre service ! comme quoi on apprend des choses même basic sur votre blog, encore merci et surtout bonne continuation!!

    Répondre
  6. Bonjour ! merci pour cet article trés simple et utile pour un grands nombres d’internautes qui le savant pas !
    Encore merci bonne continuation!
    Dom

    Répondre
  7. Bonjour, merci pour toutes ces infos très utiles. Personnellement je fais simple : j’utilise le plugin « CopyRightPro » qui empêche l’enregistrement d’une image ou la sélection de texte dans le but du copier-coller. Le seul moyen (inévitable) de pomper texte ou image est la capture d’écran, une fois le plugin activé.

    Répondre

Soumettre un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg

EmailEmail
PrintPrint