Bonjour
J'ai un site principal sur mon mutualisé, et je lance deux petits sites wordpress,
Je sais cependant que les wordpress sont très ciblés par les bots et les hackeurs, et même si je sais me protéger (les rudiments d'un bon paramétrage et de bons plugins), j'ai peur des conséquences si l'un de mes wordpress venait à être piraté,
je voulais donc savoir s'il y avait un risque pour l'entièreté de mon mutualisé en cas de piratage d'un wordpress, ou si c'est juste le répertoire contenant le site qui était en danger ...
Voilà en gros mon dossier racine quand je me connecte sur ftp:
/home/compteOVH
--- /home/compteOVH/fichierPrivé1.jpg
--- /home/compteOVH/sitePrincipal
------ /home/compteOVH/sitePrincipal/fichier.php
--- /home/compteOVH/siteWP1
--- /home/compteOVH/siteWP2
En gros, est-ce que si quelqu'un dépose une backdoor sur siteWP1, il pourra ensuite accéder/modifier fichierPrivé1.jpg, et pire encore, /sitePrincipal ?
Merci pour votre aide
24212 
24.11.2025 09:02
Bonjour @ThomasR42 Je viens de faire un essai sur mon hébergement mutualisé. Il est impossible depuis le site WP2 de pouvoir accéder par l'intérieur aux autres sous-domaines et domaine.
Non Gaston, ce n'est pas des choses à dire.
La réponse est assurémement OUI
Si un pirate peut d'une manière ou l'autre (vulnérabilité) implanter un fichier PHP et l'exécuter, c'est open bar.
Cherchez P0wny shell par exemple qui est super quand on est bien intentionné. C'est un shell en un seul fichier PHP.
Si le pirate arrive à prendre la main dans l'administration d'un ds Wordpress, il n'a qu'à installer un plugin file manager.
Dans un de vos Wordpress, essayez par exemple https://wordpress.org/plugins/wp-file-manager/ ou https://wordpress.org/plugins/file-manager-advanced/ (je ne les ai pas essayés)
Ok@fritz2cat 🇧🇪 🇪🇺 , tu as raison.
C'est en effet possible en exécutant la commande PHP system();
Je viens de le vérifier chez moi.
La seule solution efficace pour pour isoler des sites l'un de l'autre est :
Pour chaque site : un domaine + un hébergement Perso
Pour l'installation de WordPress de façon propre :
Voici un petit guide que j'ai écrit et qui pourrait vous apporter des éclaircissements pour une Installation complète et propre de votre Site.
Guide - Comprendre la Relation Domaine > Zone DNS > Hébergement > Dossier du site
Voir --> CMS - WordPress - Guide Installation chez OVH
Lisez et contrôler votre situation en suivant attentivement les paragraphes : A à J
N'hésitez pas à me faire un retour : positif ou négatif.
C'est comme cela que je peaufine mon Guide.
Si ce guide vous a bien aidé, n'hésitez pas à cliquer sur le bouton « Utile »
Bah oui c'est très facile même en faisant echo realpath(__DIR__ . '/../'); tu remontes dans l'arborescence des dossiers. Et même si tu utilises des hébergements séparés il existe des techniques assez fourbes pour hacker tes autres wordpress également.
Déjà si on part du principe que ton wordpress est vulnérable, il est probable que les autres le soit aussi car les gens répètent généralement les mêmes erreurs sur les autres.
Et si par exemple tu signes dans le footer de tes sites web "Réalisé par Jean Dupont ou ton nom d'entreprise" une petite recherche google suffira pour localisé tout tes sites web.
Un autre moyen de retrouvé les sites web d'une personne même sur serveurs différents est de repérer des groupements de domaines liés à une même adresse e-mail, avec des outils tel que securitytrails ou viewdnsinfo. Mais également au nom de la personne.
Je fais du hacking éthique et les gens ne s'imagine souvent pas a quel point il est facile de s'attaquer à une entreprise/personne.
Salut Gaston et Fritz, merci pour vos retours,
C'est donc bien ce que je pensais ...
Le soucis d'un hébergement perso par site c'est que ça coûte vite cher,
Existe il un autre moyen de limiter la casse et de considérer un dossier de mon mutualisé comme étant un sous mutualisé dans lequel il serait impossible d'aller en arrière? Que la racine soit considérée comme l'intérieur du dossier du site, et que n'importe quel shell injecté par un individu puisse uniquement endommager le site wordpress en question ?
Bonjour@ThomasR42
de considérer un dossier de mon mutualisé comme étant un sous mutualisé dans lequel il serait impossible d'aller en arrière ?
Désolé, mais ce n'est pas possible d'empêcher un retour en arrière.
Dans ma première réponse, j'avais dit qu'il n'était pas possible avec des scripts simples en PHP de passer de /home/compteOVH/siteWP2 à /home/compteOVH/siteWP1 ainsi qu'aux autres.
En fait, je me suis trompé comme l'a signalé@fritz2cat 🇧🇪 🇪🇺 .
En insérant dans un script PHP une commande system(); il est ainsi possible de se promener dans tout votre hébergement.
Titillé par@fritz2cat 🇧🇪 🇪🇺 j'ai fait des tests poussés vendredi après-midi sans utiliser P0wny shell, j'ai pu me balader sur tout mon hébergement.
Alors comment fait OVH pour pas qu'on puisse sur nos espaces reculer encore et accéder aux espaces de tous les autres utilisateurs du cluster du serveur mutualisé ? Eux arrivent bien à bloquer le retour en arrière, il faudrait juste faire la même chose sur un dossier de notre choix ... Je pense que ça doit être faisable non ? Comment font les agences web lorsqu'ils laissent accès à leurs clients au backoffice de wordpress (donc injection possible) et ont les sites de tous leurs clients sur leur serveur?
Bonjour@ThomasR42
Chaque espace d'hébergement Mutualisé commence par /home/compteOVH. Le compteOVH changeant pour chaque utilisateur.
C'est à ce niveau que la protection d'un compte Unix joue.
Y'a que moi, ou bien c'est pour tout le monde, ces images cassées ?
Mon image collée a été remplacée par un PNG généré par le serveur
(en pièce jointe)
Bonsoir@fritz2cat 🇧🇪 🇪🇺
Pour moi aussi le même bazar.
Ce forum va de mal en pis. Beurk !
"
Alors comment fait OVH pour pas qu'on puisse sur nos espaces reculer encore et accéder aux espaces de tous les autres utilisateurs du cluster du serveur mutualisé ? Eux arrivent bien à bloquer le retour en arrière, il faudrait juste faire la même chose sur un dossier de notre choix ... Je pense que ça doit être faisable non ? Comment font les agences web lorsqu'ils laissent accès à leurs clients au backoffice de wordpress (donc injection possible) et ont les sites de tous leurs clients sur leur serveur?
Les agences web s'équipent souvent de serveurS dédiéS et ont la maîtrise totale de ce que se passe dans leur entreprise.
C'est une arme à double tranchant: si on n'a personne de compétent, un petit incident peut vite tourner en grosse catastrophe.
Unix (et donc Linux) offre une séparation des droits pour chaque utilisateur. Chez OVH un hébergement mutualisé = un utilisateur.
La bonne pratique est un site par 'hébergement'.
Chaque hébergement à un seul utilisateur attaché à des workers PHP.
Ceux-ci peuvent se balader partout dans le système de fichier qui leur appartient. C'est dire ton hébergement perso/pro/perf...
Si un site est compromis, alors c'est l'ensemble de l'hébergement qui peut l'être. Le multi-site est une mauvaise pratique et certaines agences web l'utilise quand même à leurs risque et périls.
Bonjour
Complètement d'accord avec TTY et surtout pour une clientèle car en plus des risques, tous les clients vont partager le même certificat SSL ce qui n'est pas du tout une bonne pratique.
Tous à fait@MaryS
Il suffit d'examiner le certificat SSL pour trouver le site qui sera le maillon faible de tous l'hébergement :D
Perso pour mes hébergements mutualisés, c'est un hébergement pour chaque site. Celui qui ne comprend pas ça va voir ailleurs.
Bonjour,
C'est ce que je préconise depuis longtemps : Par site : Un kit Domaine + Hébergement