Salut, je viens de commencer mon essai gratuit de 14 jours et j’aime ce que je vois. J’ai une question sur la sécurité :
J’utilisais auparavant un forum « Simple Machines », lié à mon site Web, mais il s’est avéré être un risque de sécurité énorme, car les spammeurs utilisaient le forum comme une porte dérobée pour accéder à mon site et ensuite le faire planter.
Je prévois d’utiliser un compte Discourse Standard, hébergé par Discourse (est-ce que je comprends bien ?)
Quel type de pare-feu existe entre le forum Discourse et mon site Web lié ?
Discourse est utilisé par de nombreuses grandes entreprises technologiques
C’est un système robuste. Vous ne pouvez pas héberger un site Discourse sur Squarespace, il sera hébergé par Discourse sur leurs serveurs, c’est ce pour quoi vous payez et ce sera une entité distincte.
Notre serveur physique a été piraté il y a quelques années (99 % à cause d’un ancien site Confluence). Presque tout a été détruit sauf Discourse. Nous avons eu environ 4 spammeurs au cours des 10 dernières années. Mais nous ne sommes pas célèbres. J’ai vu environ 2 spammeurs sur Discourse Meta lui-même au cours des 3 derniers mois, allant jusqu’à poster quelque chose sur le forum. Je considère qu’il est conçu pour être à l’épreuve du spam dès le départ. Je pense que c’est même l’idée de base avec laquelle ils ont commencé.
Si les cauchemars proviennent de l’intégration lors de l’intégration d’un forum comme système de commentaires dans un autre site, comme WordPress [1], je ne peux pas vous donner d’explications techniques — mais j’utilise Discourse de cette façon, et beaucoup d’autres le font aussi, sans problèmes.
Si (et quand ?) vous utilisez Discourse de manière autonome, comme la majorité le fait, votre site principal n’est qu’un autre lien à l’intérieur de Discourse. Alors, la sécurité de ce site/serveur provient de ce qui s’y passe, bien sûr. Et la sécurité de Discourse hébergé est le casse-tête de CDCK, pas le vôtre.
Mais je parie qu’il y a plus d’instances auto-hébergées que celles de CDCK, et encore une fois, d’autres peuvent vous donner des informations plus solides, mais je n’ai jamais entendu parler d’instances Discourse crackées ou piratées.
Je ne sais pas si les forums hébergés ont cette capacité ↩︎
Squarespace est un constructeur de sites hébergé, pas un endroit qui hébergerait un site WordPress, mais il offre des dispositions pour intégrer des sources externes via des blocs de code et des blocs d’intégration.
Il n’est pas clair ce que SamM entend spécifiquement par “les spammeurs utiliseraient le forum comme une porte dérobée pour accéder à mon site, puis le planteraient.” Les spammeurs ne veulent pas planter le site, ils veulent juste le submerger de publicités poubelles et de clickbait. Si c’est ce qui s’est passé, alors peut-être que Simple Machines manquait des outils de Discourse pour contrôler le spam.
Mais la question “Quel type de pare-feu existe entre le forum Discourse et mon site web lié ?” semble être quelque chose à poser à Squarespace. Ils avertissent que l’injection de code peut causer des problèmes d’affichage indépendants de leur volonté, mais je n’imagine pas qu’un article de forum intégré puisse causer plus de dégâts que cela.
C’est un peu hors sujet, mais c’était un vrai problème avec WordPress il y a quelques années. Les premières attaques de spam ont fonctionné, mais en raison d’une faiblesse bien connue, des centaines d’autres ont suivi, et ce serveur a planté. Ou la même faiblesse a été exploitée par des script kiddies essayant de détourner tout le système, et comme ils étaient pour la plupart juste des copy-pasteurs, leur code médiocre et leur manque de compétences ont tout cassé.
Une réalité est que seule une minorité de spammeurs agissent comme des parasites, tandis que la majorité agit davantage comme des bactéries ou des virus.
Ce n’est pas la situation avec Discourse. Mais je suppose que de telles situations expliquent cette préoccupation.
En effet, beaucoup d’inconnues. Par exemple, le logiciel de forum qu’ils utilisaient n’avait-il aucune fonctionnalité réelle de détection/confinement de spam ? Et bien sûr, s’ils utilisaient un constructeur de site, quelles fonctionnalités Squarespace propose-t-il.
Une réponse complète à cette question remplirait littéralement un livre sur la sécurité.
Mais je vais vous donner une réponse quasi complète ici après avoir clarifié certains points sur ce qui vous est arrivé :
Cela ressemble à des attaquants (pas des « spammeurs » - les spammeurs posteraient simplement du spam) qui ont réussi à exploiter le forum Simple Machines et à obtenir un accès à distance à votre serveur sur lequel il était hébergé. Planter votre site ne ferait qu’empêcher d’y accéder, plutôt que de leur permettre d’y accéder.
Ce serveur hébergeait probablement aussi d’autres choses ou contenait d’autres données ?
La meilleure façon de penser à cela est en termes de « rayon d’explosion ». Dans le cas où quelqu’un obtiendrait un accès administrateur inapproprié à votre forum, il aurait accès à toutes les données du forum.
En particulier les données personnelles identifiables (PII), mais aussi la configuration ou d’autres secrets d’API. Par exemple, si un autre service de votre domaine dépendait de ce site pour l’authentification, cela pourrait permettre aux attaquants de pivoter vers ce autre service.
Dans le pire des cas, si un attaquant obtenait un accès aux serveurs backend (généralement appelé exécution de code à distance), le rayon d’explosion inclurait également tout ce qui est accessible par le compte utilisateur sous lequel le service réel s’exécute. Diverses protections pour limiter ce rayon d’explosion, telles que la conteneurisation et l’exécution de serveurs avec des identifiants non administrateur, contribuent également à limiter cette exposition.
Pour résumer, l’hébergement sur un service géré est le plus sûr pour votre site car nous sommes responsables de la sécurité du système.