Actipage et la sécurité

 

Afin de faire face aux différentes attaques Internet et vous prémunir des dégradations de vos pages, de votre image, de l’altération de vos données ou d’un usage malveillant de celles-ci, nous avons renforcé la sécurité et la performance de nos services.
Vous trouverez ci après les principales actions mises en place dans ActiPAGE pour lutter contre ces attaques.

 

Filtrage des adresses IP Nouveau
Actipage dispose d’un filtre de sécurité permettant de bloquer l’accès aux pages d’administration. Il est ainsi possible de définir une liste d’adresses IP autorisées ou une liste d’adresses IP à interdir. La saisie de plages d’adresses IP est également possible et cumulable avec une liste d’adresses IP.

Sécurisation des mots de passe Nouveau
Mots de passe stockés hashés : Nous utilisons l’algorithme de hachage SHA512 afin de ne pas conserver les mots de passe en clair. Mot de passe faible : Nous obligeons les utilisateurs à utiliser un mot de passe de 8 caractères contenant au moins un chiffre et des lettres.

Admin sécurisation renforcée
Par accès http différencié : Accès public à l’interface d’administration : L’administration se situe sur un autre nom de domaine et séparé des sites. Par double identification : Client puis Utilisateur et Mot de passe

Injection de codes SQL
Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité. Les données envoyées par les visiteurs dans le backoffice ainsi que le site publique sont contrôlées via la fonction PHP mysqli_real_escape_string. Les caractères spéciaux contenus dans les chaînes de caractères entrées par l’utilisateur sont alors substituées par des caractères rendant inopérantes les requêtes malveillantes .

XSS (cross-site scripting)
Le cross-site scripting (abrégé XSS pour ne pas les confondre avec les feuilles de style CSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page.
De la même manière que pour les injections de codes SQL nous contrôlons et filtrons les données envoyées par l’utilisateur avec des caractères spéciaux (fonction htmlentities).

Protection Anti-DDoS
Tous nos sites disposent d’une protection Anti-DDoS  qui permet de bloquer les attaques par un envoi massif de requêtes automatiques sur nos sites. Une attaque DDoS vise à rendre votre site indisponible, en surchargeant la bande passante du serveur par des requêtes multiples, ou en accaparant ses ressources jusqu'à épuisement. Notre hébergeur intègre en série une solution de mitigation basée sur la technologie VAC. Il s’agit d’une combinaison exclusive de techniques qui analysent en temps réel et à haute vitesse votre trafic. Elles détectent et interceptent automatiquement les attaques, tout en laissant passer les requêtes légitimes.

Haute disponibilité
Les sites sont hébergés sur un environnement assurant la haute disponibilité, les sites sont hébergés sur des serveurs de fichiers avec de nombreuses réplication des données.

Loadbalancing
Plusieurs serveurs exécutent le code source du site en parallèle ce qui permet de répartir les requêtes sur plusieurs serveurs et ainsi améliorer le temps de réponse. En cas de panne d’un serveur, le trafic est automatiquement redirigé sur les autres serveurs disponibles. Ces mesures permettent de garantir un taux de disponibilité de 99,9%.

Mise à jour régulière des versions logicielles utilisées
L'utilisation d'une version PHP à jour permet de profiter des dernières innovations, comme l'optimisation PHP-FPM. Avec PHP-FPM, les éléments et instructions invoqués lors d’une requête sont conservés en mémoire, c’est-à-dire mis en cache au niveau du serveur, pour être réutilisés directement si cette même requête est à nouveau demandée. Actipage et les logiciels périphériques sont régulièrement mis à jour et bénéficient de nouvelles fonctionnalités renforçant la sécurité. L’architecture centralisée facilite le déploiement des nouvelles versions pour l’ensemble des utilisateurs.

Informations sensibles dans la base de Whois
Le whois permet d'effectuer des recherches sur les bases de données des Registries. Ce service contient les adresses, emails et numéros de téléphone des propriétaires de noms de domaine. Toutes les informations du contact peuvent être masquées (nom et prénom exclus) pour toute personne physique, seul l'email peut être masqué pour toute personne morale. Actigraph masque systématiquement (Whois Obfuscateur) vos informations personnelles du whois, pour tous les noms de domaine gérés par ses soins et se terminant en .com, .net, .org, .biz, .info, .mobi, .tv, .cc et .me.

Sauvegardes
Vous avez supprimé un fichier par mégarde ? Vous avez modifié votre site ne fonctionne plus correctement ? En cas de nécessité, la remise en ligne de vos informations est facilitée par les différentes mesures de sauvegarde mises en place.
Les différents types de sauvegarde disponibles avec Actipage :
Sauvegarde automatisée par les clients via Actipage
  • Sauvegarde des dump de la base de données (à plusieurs adresses emails - fréquence ajustable)
Sauvegarde par Actigraph
  • Sauvegarde journalière des dumps par nos services
  • Sauvegarde des dumps disponibles sur les 15 derniers jours (J-15)
  • Sauvegarde des fichiers du site (PHP, images, vidéo, pdf…) toutes les semaines
  • L’ensemble des sauvegardes est stocké sur un disque situé en nos locaux
  • Une copie de ce disque est effectuée toutes les semaines et stocké dans un autre endroit géographique
Sauvegarde par notre prestataire d’hébergement
  • Sauvegarde de l’ensemble de l’environnement du site à J-1 ; J-2 ; J-3
    (Base et données)
  • Sauvegarde de l’ensemble de l’environnement du site à S-1 ; S-2 ; S-3
    (Base et données)
  • Accès direct aux espaces de sauvegarde en http, FTP.

Si vous souhaitez obtenir des informations,
contactez Thierry Den Hartog au 02 31 08 10 30,
ou par mail à info@actigraph.com


 www.actigraph.com

.