Superviser/Sécuriser son site web

Suite à la création de notre site web, hébergé par nos soins et soigné aux petits oignons, il est très intéressant de pouvoir, d'une part, connaître l'intensité des visites et les pages consultées, mais aussi d'être informé des déplacements précis des utilisateurs sur notre site.
Une combinaison de plusieurs outils permettra de tracer volontairement le passage de nos visiteurs et de détecter ceux qui, éventuellement, tenteraient une action de piratage sur notre site.

Nous allons ainsi utiliser plusieurs outils afin de garantir une surveillance et une sécurité optimale :

Php My Visites : Référence les visites, les pages vues, la provenance des utilisateurs etc..
Click Heat : Cartographie l'intensité des clics sur nos pages.
HIHAT : Honeypot, orienté webpot, référence toutes les actions tentées sur le site.

NOTA : PIWIK est le nouveau nom de Php My Visites. Cependant, il est actuellement en plein développement, c'est pourquoi nous allons conserver Php My Visites.

1. Prérequis

Avant de débuter l'installation et le paramétrage de nos trois outils, il nous faut installer les modules suivants :

• apt-get updapte
• apt-get install apache2
• apt-get install php5
• apt-get install php-pear
• apt-get install mysql-server
• apt-get install phpmyadmin

2. Installation de Php My Visites

L'installation se fait sur le serveur web, par "Copier/Coller" du dossier téléchargé de Php My Visites à la racine de notre site contenu dans /var/www/notre_site_web.
Il est possible ensuite de commencer la configuration en allant chercher dans notre navigateur l'index de Php My Visites : http://notre_site_web/PHPMV.

NOTA : PHPMV est le nom que j'ai donné à mon dossier téléchargé de Php My Visites. A vous de le renommer comme bon vous semble.

L'installation et la configuration de Php My Visites avec notre base de données peut commencer. Les étapes sont simples et relativement intuitives, rien de bien compliqué, il suffit de suivre !
Pour ma part, cette première installation a été effectuée en localhost après avoir rapatrié mon site et créé une base de test sous PhpMyAdmin ... au cas où !



Le récapitulatif de la configuration requise est très important, il nous permet dès le départ de corriger d'éventuelles erreurs. Logiquement tout est correct :



La connexion à notre base de données se fait suivant les champs suivants :



L'erreur que l'on peut rencontrer n'est pas bien méchante, elle concerne la création de notre mot de passe pour se connecter à Php My Visites :



A la fin de l'installation un code de ce type sera généré :

<!-- phpmyvisites -->
<a href="http://www.phpmyvisites.net/" title="phpMyVisites | Open source web analytics"
onclick="window.open(this.href);return(false);"><script type="text/javascript">
<!--
var a_vars = Array();
var pagename='';

var phpmyvisitesSite = 1;
var phpmyvisitesURL = "SITE/phpmv/phpmyvisites.php";
//-->
</script>
<script language="javascript" src="SITE/phpmv/phpmyvisites.js" type="text/javascript"></script>
<object><noscript><p>phpMyVisites | Open source web analytics
<img src="SITE/phpmv/phpmyvisites.php" alt="Statistics" style="border:0" />
</p></noscript></object></a>
<!-- /phpmyvisites --> 

Celui ci est à "Copier/Coller" dans chacune de vos pages web juste avant la balise de fin </body>, afin que vos pages soient recensées dans Php My Visites. L'augmentation des visites peut ainsi être améliorée en tenant compte des besoins des visiteurs...

Nous voilà enfin sur l'éléphant bleu !



Voyons maintenant l'installation de Click Heat pour connaitre les déplacements de ce petit monde.

3. Installation de ClickHeat

Tout comme Php My Visites, l'installation se fait sur le serveur web, par "Copier/Coller" du dossier téléchargé de ClickHeat à la racine de notre site contenu dans /var/www/notre_site_web.
Il est possible ensuite de commencer la configuration en allant chercher dans notre navigateur l'index de ClickHeat : http://notre_site_web/clickheat.

NOTA : ClickHeat est le nom que j'ai donné à mon dossier téléchargé de ClickHeat. A vous de le renommer comme bon vous semble.

Les étapes d'installation étant très similaire à Php My Visites, je ne vais pas m'attarder dessus.
Un code de ce type est généré pour terminer l'installation :

<script type="text/javascript" src="SITE/clickheat/js/clickheat.js"></script><noscript><p><a href="http://www.labsmedia.fr/index.html">Optimisation de trafic</a></p></noscript><script type="text/javascript"><!--
clickHeatSite = 'VOTRE SITE';clickHeatGroup = 'nous_contacter';clickHeatServer = 'http://www.VOTRE SITE/clickheat/click.php';initClickHeat(); //-->
</script>

Ce code est à rajouter juste après le script de Php My Visites avant la balise de fin </body>, dans chacune de vos pages.

Enfin, ce qui est important pour finaliser le paramétrage de ClickHeat concerne cette page :



Il peut y avoir un défaut d'affichage. ( Par exemple : carré rouge ou page entièrement rouge)
Pour corriger ce problème, j'ai décoché les cases masquer les balises <iframe> et masquer les objets <Flash>.

Au final voici ce que l'on obtient :



Après ces deux premiers modules qui nous permettent de superviser en détail les allées et venues sur notre site, voyons le déploiement d'un Honeypot : HIHAT.

4. Installation d'HIHAT

HIHAT va piéger toutes les tentatives d'accès à notre base de données mais aussi référencer toutes les actions sur notre site. Toute tentative suspecte est référencée comme une attaque.

Un tutoriel complet, mais en anglais, est disponible ici : Installation d'HIHAT

NOTA : HIHAT nécessite l’hébergement personnel de notre site web. Si l’on passe par un hébergeur mutualisé, l’installation est impossible. Le rapatriement du site web implique la création d’une faille majeure de sécurité sur notre réseau.

Après cela même principe d'accès à HIHAT que Php My Visites et ClickHeat : http://notre_site_web/HIHAT



Pour HIHAT, il n'y a pas de configuration particulière pour l'affichage des données. Petit exemple de ce qui est rapatrié :



Nous obtenons à présent un couplage parfait de nos trois outils qui garantiront une surveillance et une sécurité optimale de notre site. En espérant que cette astuce vous sera des plus utiles, bonne supervision !