Une meilleure sécurité pour notre espace client

Nouveau système de choix de mot de passe

Nous avons amélioré notre système de choix de mot de passe. Lorsque vous saisissez votre mot de passe, vous avez désormais une barre d’information qui vous indique sa force.

Votre mot de passe doit être d’une force acceptable. Il n’y a plus d’obligation de longueur, de chiffres ou de caractère spéciaux, celui-ci doit uniquement être d’une force acceptable. Vous pouvez donc, par exemple, utiliser 5 ou 6 mots aléatoires et faciles à vous rappeler à la place de caractères aléatoires.

Nouveau système d’avertissement de connexion

Vous recevrez maintenant, par défaut, un e-mail chaque fois que vous vous connectez à votre compte client. Cela vous permet d’être alerté lorsqu’une personne tente de se connecter à votre compte.

Si vous ne souhaitez pas recevoir ces alertes, vous pouvez bien sûr les désactiver, mais nous vous le déconseillons.

Nouveautés à venir

Nous allons bientôt vous permettre de sécuriser davantage votre compte client avec une solution facultative d’authentification en deux étapes (2FA) qui utilisera Google Authenticator (solution gratuite) ou Yubikey (solution payante que nous utilisons déjà en interne).

Ces nouvelles mesures de sécurité que nous ajoutons seront suivies de nouvelles fonctionnalités dans votre espace client. Nous allons, par exemple, vous permettre de gérer vos noms de domaines sans contacter notre assistance.

Surveillance et patch automatique de WordPress, Joomla! et Drupal

Monarobase inclut Patchman pour nos formules hébergement WordPress, Classic, Deluxe et MultiComptes.

Patchman surveille les failles de sécurité dans WordPress, Joomla! et Drupal, et peut corriger ces failles.

Comme l’indique son nom, Patchman applique une rustine de sécurité sur vos CMS (WordPress, joomla! et Drupal), sans changer la version ou la compatibilité de votre installation de WordPress, joomla! ou Drupal.

Pour la majorité des alertes de sécurité que vous recevez de notre part, une mise à jour de l’outil WordPress, joomla! ou Drupal est suffisante.

Dans certains cas, Patchman prévient d’une mise à jour qui n’est pas encore disponible sur le site de l’éditeur du CMS.

Dans ce cas, la procédure et simple, vous pouvez corriger la faille de sécurité avec Patchman depuis votre interface cPanel.

Nous conseillons l’utilisation de Patchman dans les deux cas de figure suivants :

  • Votre outil CMS (WordPress, Joomla! ou Drupal) ne dispose pas encore de correctif de sécurité.
  • Vous n’avez pas le temps d’effectuer tout de suite, mais ne souhaitez pas que votre site reste vulnérable.

Patchman détecte les vulnérabilités et les corrige pour toutes les versions de WordPress, Joomla! et Drupal et vous prévient des mises à jour des outils suivants :

  • WordPress
  • Joomla!
  • Prestashop
  • Drupal
  • Dolibarr
  • phpBB
  • ownCloud
  • Magento
  • phpList
  • TYPO3

Patchman est une mesure de sécurité importante incluses avec nos hébergements. Nous effectuons également un blocage automatique d’attaques extérieurs, un scan antipiratage, et un cloisonnement des utilisateurs.

La sécurité de nos serveurs est aussi importante que la vélocité et la stabilité de votre site Internet.

PHP 7.1 est disponible chez Monarobase !

PHP 7.1 est déjà disponible chez Monarobase !

PHP 7.1 est un peu plus rapide que PHP 7.0 et permet quelques nouvelles syntaxes.

Vous pouvez consulter les nouveautés ici :

http://php.net/manual/fr/migration71.new-features.php

et le guide de migration de PHP 7.0 à 7.1 ici :

http://php.net/manual/fr/migration71.php

Comme  toujours, nous vous encourageons à utiliser la version la plus récente de PHP qui est compatible avec vos scripts.

Nous avons déjà passé ce blog (WordPress 4.7) sous PHP 7.1

Let’s Encrypt arrive chez Monarobase !

Nous avons été sélectionnés par cPanel pour tester leur intégration de Let’s Encrypt. Toutes nos formules hébergements vont bientôt inclure des certificats SSL.

Dans un premier temps, nous allons activer Let’s Encrypt sur demande. Si vous souhaitez activer Let’s Encrypt, dites-le-nous.

Qui est Let’s Encrypt ?

Let’s Encrypt a été fondée par Mozilla, Akami, CISCO, EFF, Identrust et l’université du Michigan, avec une volonté de sécuriser Internet. Leur objectif est de rendre les certificats SSL accessibles à tous.

Let’s Encrypt  est aujourd’hui soutenu par beaucoup d’organisations. Les plus connus sont Mozilla, Akamai, CISCO, Chrome, Facebook et Automattic. 

Qu’est-ce qu’un certificat SSL ?

Un certificat SSL permet de crypter (rendre illisible) toute donnée qui circule entre votre navigateur et un site Internet.

Un site Internet qui est protégé par un certificat SSL dispose souvent d’un cadenas et d’une URL qui commence par https://.

Pourquoi utiliser un certificat SSL ?

L’utilisation d’un certificat SSL est aujourd’hui très importante. Ce n’est pas uniquement pour la sécurité, mais aussi pour la vitesse d’affichage et pour l’optimisation du référencement.

Pour avoir des affichages encore plus rapides.

Le protocole HTTP/2 (ou SPDY pour les anciens navigateurs) est plus rapide que l’ancien protocole HTTP 1.1. Il permet de réduire le nombre d’aller-retour entre le navigateur et le serveur. Ainsi une page qui contient un grand nombre de petites images s’affichera beaucoup plus vite en HTTP/2 qu’en HTTP 1.1.

Pour optimiser votre référencement

Google a annoncé en 2014 qu’ils commençaient à prendre en compte l’utilisation du HTTPS pour calculer l’ordre d’affichage des résultats.

Annonce officielle de Google :
https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html

Pour le moment, Google n’attribue que très peu d’importance à l’utilisation du SSL, mais ils vont progressivement favoriser de plus en plus les sites  HTTPS.

Pour sécuriser votre site

Si vous avez une interface administration, vous devez très certainement vous connecter avec un mot de passe pour administrer votre site.

Si vous avez un formulaire sur votre site, un de vos visiteurs pourrait envoyer des informations confidentielles.

Le HTTPS permet de sécuriser toutes ces utilisations. Que vous soyez chez vous, ou avec votre téléphone mobile, vos communications peuvent être surveillées par une personne mal intentionnée. Il est donc très important de chiffrer vos communications.

Quel avenir des certificats payants ?

Les certificats payants avec vérification de l’entreprise permettent d’afficher l’identité de l’organisation propriétaire du certificat.

Les certificats de type EV (validation étendue de l’organisation) permettent d’afficher le nom de l’organisation dans la barre d’adresse du navigateur.

Ces types de certificats permettent à vos visiteurs de contrôler l’identité de votre entreprise.

 

2016, l’année des ransomware

Dernièrement, nous avons constaté une augmentation importante d’e-mails avec une pièce jointe au format zip d’expéditeurs qui ne sont pas connus.

Ces e-mails ressemblent à de vrais e-mails, et sont souvent basés sur un vrai e-mail d’Avocat, de Comptable, ou de Fournisseur; ils peuvent même reprendre les entêtes de l’e-mail d’origine. Continuer la lecture de 2016, l’année des ransomware

Mise à jour de notre espace client vers Laravel

Ce soir, nous avons mis en ligne un nouveau moteur pour notre site Internet et espace client. Dans cette première version de la v2.0 de notre espace client, nous avons reproduit toutes les fonctionnalités de la version précédente et nous allons ajouter au fur et à mesure de l’année de nouvelles fonctionnalités.
Continuer la lecture de Mise à jour de notre espace client vers Laravel

KuberDock passe en bêta public

Nous vous avons déjà parlé de la solution KuberDock de CloudLinux dans un article du 14 mai 2015.

Pour rappel, cette solution si nous la validons nous permettrait de vous proposer des applications privées comme Memcached, Elastic Search, MySQL, Nginx, etc.

Cette solution vient de passer à sa première version de bêta public. Cela signifie que nous allons bientôt commencer les tests pour valider cette solution et connaître toutes les possibilités.