Trois règles suffisent à couvrir l'essentiel : ne plus utiliser le FTP en clair (il transmet identifiant et mot de passe sans chiffrement) au profit du SFTP ou du FTPS, remplacer les mots de passe SSH par des clés et désactiver la connexion directe du compte root, et restreindre la base de données à un utilisateur dédié, aux droits limités, accessible uniquement depuis le serveur.
La checklist des accès techniques
- Un compte par personne, jamais de compte générique partagé entre l'agence, l'hébergeur et les équipes internes : sans nominatif, aucune traçabilité en cas d'incident.
- Des mots de passe uniques, stockés dans un gestionnaire, jamais dans un e-mail ou un tableur.
- Base de données non exposée sur Internet : accès limité au serveur local, et pas d'outil d'administration web laissé accessible sans protection.
- Blocage des tentatives répétées (fail2ban ou équivalent) sur SSH et sur la page de connexion du CMS.
- Revue des accès à chaque départ de collaborateur ou fin de prestation : la révocation doit être immédiate, pas différée.
- Journalisation activée et conservée : sans logs, un incident reste inexplicable.
Ces mesures ne coûtent presque rien et éliminent la majorité des intrusions opportunistes. Pulsar Agency les met en œuvre et les maintient dans le temps : découvrez notre offre de sécurité de site web.