Administration WordPress et OwnCloud

Le_Farfadet_Spatial · Février 21, 2016, 9:27pm

Salut à tous !

Pour répondre aux besoins web de ma famille, je vais installer WordPress et OwnCloud sur notre serveur, qui tourne sous Debian.

Je constate qu’il y a des paquets dédiés pour ces deux logiciels dans la distribution. C’est une bonne chose.

Simplement, comme j’ai eu de mauvaises expériences concernant la sécurité (cela concerne surtout mes propres compétences), je voulais m’assurer d’une chose.

Une fois installé, j’imagine que les mises à jour doivent être faite à l’aide d’Aptitude (ou Apt-get) et non pas avec les interfaces de gestions de WordPress ni d’OwnCloud. Je pense que les mainteneurs des paquets chez Debian font attention aux mises à jour de sécurité.

Tout cela me semble aller sans dire, mais est-ce que vous pouvez me confirmer que c’est bien le cas ?

À bientôt.

Le Farfadet Spatial

Clochette · Février 21, 2016, 9:27pm

[quote=“Le Farfadet Spatial”]Salut à tous !

Pour répondre aux besoins web de ma famille, je vais installer WordPress et OwnCloud sur notre serveur, qui tourne sous Debian.

Je constate qu’il y a des paquets dédiés pour ces deux logiciels dans la distribution. C’est une bonne chose.

Simplement, comme j’ai eu de mauvaises expériences concernant la sécurité (cela concerne surtout mes propres compétences), je voulais m’assurer d’une chose.

Une fois installé, j’imagine que les mises à jour doivent être faite à l’aide d’Aptitude (ou Apt-get) et non pas avec les interfaces de gestions de WordPress ni d’OwnCloud. Je pense que les mainteneurs des paquets chez Debian font attention aux mises à jour de sécurité.

Tout cela me semble aller sans dire, mais est-ce que vous pouvez me confirmer que c’est bien le cas ?

À bientôt.

Le Farfadet Spatial[/quote]

Le mieux est à mon humble avis pour ce type d’application web de déployer et sécuriser toi même, le maintient des mises à jour de sécurité est plus ou moins automatisé pour Wordpress (attention aux thèmes et plugins foireux, de vrai nids à failles) et pour Owncloud, méfiance il y avait pas mal de régression ou d’update qui passait mal.

Le mieux à prévoir c’est un backup avant chaque mise à jour et un abonnement au flux de sécurité de ces deux applications web et le faire à la ‘mano’.
Rien ne t’empêche de surcroit de déployer pour chaque applications web un site de dev qui essuiera les pots cassé pour les mises à jour et te permettra de tester de fonds en combles.

Un simple sous-domaine ou un vhost que tu activera à la main suffisent en générale.

Il faut absolument abandonner tout idée de modification non testées sur une production une pré production est là pour ça

Le_Farfadet_Spatial · Février 21, 2016, 9:27pm

Salut à tous !

D’accord. Comme quoi, ça valait le coup de poser la question.

D’accord.

Je vois dans les grandes lignes comment faire, mais est-ce que tu as des références indiquant comment s’y prendre en pratique ?

À bientôt.

Le Farfadet Spatial

piratebab · Février 21, 2016, 9:27pm

J’ai 2 sites avec wordpress, sur serveur OVH prtagés.
Précise sur quel matériel tu veux l’installer (un serveur chez toi ?), et si ça doit étre accéssible sur le net.

Il faut bien que tu fasse la différence entre le systeme d’application du serveur physique, ses logiciels applicatifs (en particulier le serveur web), et wordpress, qui n’est qu’un ensemble de scripts (php il me semble).
Pour le systéme d’exploitation et le serveur web, c’est le boulot de debian. Tu installes, et tu sécurises (il y a des tas de tutos pour ça). Si c’est sur un serveur chez toi, accéssible depuis le net, il aut faire en sorte que si cette machine est compromise, elle ne serve pas de rebond pour accéder au reste de ton WAN. Pour cela tu peux utiliser une DMZ, une machine virtuelle …
ensuite tu as wordpress. Il est très simple à gérer, tu as des tas de plugins disponibles. Attention avec les plugins, ils peuvent plomber le temps de réponse. Tu as des sites sur le net qui te recommandes une liste de plugin utiles. Si ton wordpress est compromis, ton site ne s’affichera plus, mais comme tu as bien sécurisé les autres couches (debian et serveur web), ça s’arrêtera là.
Tu réinstalles wordpress, tu ressors ta dernière sauvegarde, et ça repart.

La plupart des malveillants qui sévissent sur le net s’arrêtent à attaquer wordpress. Il n’ont pas un niveau de sophistication nécessaire pour s’attaquer plus loin. Statistiquement, ils ont la possibilité de trouver des milliers de sites avec wordpress pas à jour, ils n’ont pas besoin de se compliquer plus la vie.

BelZeButh · Février 21, 2016, 9:27pm

Salut,

[mono]Owncloud[/mono], je passe, mais je n’en pense pas moins …
Sinon, tu as également [mono]pluxml[/mono] qui lui est maintenu par nos dev.

[12:35:01]:~$ aptitude search pluxml p pluxml - light blog/CMS engine powered by XML [12:35:48]:~$

[12:35:56]:~$ acp pluxml pluxml: Installé : (aucun) Candidat : 5.3.1-2 Table de version : 5.3.1-2 0 90 http://ftp.fr.debian.org/debian/ testing/main i386 Packages 50 http://ftp.fr.debian.org/debian/ unstable/main i386 Packages [12:36:03]:~$

Le_Farfadet_Spatial · Février 21, 2016, 9:30pm

Salut à tous !

Merci de vos réponse et désolé de revenir un peu tardivement.

À la base, c’est pour installer sur un serveur auto-hébergé. Cela dit, je suis en train de fortement faire évoluer mon architecture web. En tout cas, merci des réponses, ça aide. Je vous tiens au courant.

À bientôt.

Le Farfadet Spatial