securiser LAMP

  • changer le mot de passe root

Comprendre ce qui se passe sur la machine

  • Avoir des statistiques réseau
    • installer Netstat
      • apt-get install net-tool
    • voir les IP connectées
      • netstat -ntu|awk '{print $5}'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r
    • Quels services sont actif
      • netstat -pnltu
  • Charge serveur
    • Connaître la charge CPU à 1, 5 et 15 mn (si >7 problème probable)
      • uptime
  • Charge réseau
    • sudo apt-get install nload -y
  • Détecter les tentatives de connexion ssh
    • journalctl -u ssh | grep “Failed password”

Durcir SSHD

Modifier le fichier /etc/ssh/sshd_config pour limiter les attaques brute-force

MaxAuthTries 6
MaxSessions 10

Tester la configuration avec sshd -t

S’il n’y a pas d’erreur, relancer le service :

sudo systemctl restart ssh

Sécuriser WordPress

Dans le .htacess :

# Bloquer accès xmlrpc
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

# Interdire le listing des répertoires
Options All -Indexes

# Sécuriser les en-têtes
Header always set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Frame-Options "sameorigin"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set X-XSS-Protection "1; mode=block"
Header always set Permissions-Policy "midi=()"
Header always set Expect-CT "max-age=7776000, enforce"

Todo

  • désactiver le compte root