PlanetHoster - Le WAF de la mort

Découvrez pourquoi PlanetHoster est mon hébergeur préféré depuis des années – et comment tirer le meilleur de son WAF !

Si vous utilisez PlanetHoster comme moi, vous savez probablement déjà à quel point cet hébergeur est fiable et performant. Mais depuis 2022, leur offre est montée d’un cran avec l’intégration d’un WAF (Web Application Firewall) ultra-efficace. Ce bouclier numérique protège votre site contre la majorité des attaques, notamment celles qui ciblent des plateformes comme PrestaShop.

Un WAF puissant, mais parfois un peu trop restrictif…

Un firewall performant, c’est génial… mais il peut parfois bloquer des fonctionnalités essentielles de vos CMS. J’ai moi-même rencontré ce problème avec un petit script open-source de facturation que j’utilise pour des besoins spécifiques. Bien qu’il soit obsolète, il reste parfaitement adapté à mes besoins.

Pour contourner les restrictions du WAF, j’ai opté pour une solution simple mais sécurisée : limiter l’accès au script à l’aide d’un fichier .htpasswd et désactiver temporairement le WAF sur cette application. Certes, c’est une approche radicale, mais elle fonctionne parfaitement pour ce cas précis !

Le défi des mises à jour PrestaShop

Si je partage cette expérience aujourd’hui, c’est parce que le WAF de PlanetHoster peut également poser problème avec PrestaShop, notamment lorsqu’il s’agit de mettre à jour vos modules via le fameux bouton “Tout mettre à jour”. Une fonctionnalité pratique, mais qui nécessite d’aller chercher des archives directement sur les serveurs de PrestaShop SA – une action perçue comme une faille de sécurité par le WAF.

Vous pourriez bien sûr télécharger manuellement les archives et effectuer les mises à jour module par module… mais soyons honnêtes, qui a le temps de faire ça quand on gère des dizaines de sites ou qu’on doit s’occuper de clients sous contrat de maintenance ?

La solution : Débloquez le WAF en toute sécurité

Bonne nouvelle : vous n’avez pas besoin de désactiver entièrement le WAF pour résoudre ce problème ! Je vais vous expliquer comment désactiver uniquement la règle spécifique qui bloque les mises à jour de modules tout en conservant l’ensemble des autres protections actives.

De cette manière, vous pourrez profiter de la sécurité de PlanetHoster sans compromettre la fluidité de vos mises à jour – et continuer à gérer vos sites et démonstrations clients en toute tranquillité.

👉 Rendez-vous dans la suite de cet article pour découvrir le pas-à-pas et sécuriser vos mises à jour sans prise de tête !

Identifier la règle bloquante

PlanetHoster est assez sympathique pour vous laisser la main sur beaucoup de règles du WAF tout en conservant les logs de blocages déclenchés par le WAF sur votre hébergement.

Ainsi, lorsque vous êtes connecté à votre espace N0C pour gérer votre hébergement World, il vous suffit de vous rendre dans la section Sécurité, puis dans l'Historique du pare-feu.

Vous y trouverez la liste complète des derniers blocages.

Cette liste donne beaucoup d'informations, surtout si vous cliquez sur une ligne, vous aurez le détail complet sur le blocage.

Il vous suffit de connaître votre adresse IP, de vous rendre sur cette liste juste après le blocage pour savoir si c'est le WAF de votre hébergement qui vous a bloqué ou si le problème provient d'un autre élément.

Lorsque vous avez identifié la ligne vous concernant, recopiez simplement l'ID de la règle concernée.

Débloquer la situation

Maintenant que vous avez identifié la règle bloquante, regardez un petit peu les explications pour savoir si c'est un truc grave ou pas, en général, ALERT, ce n'est pas bien grave, il vous suffit de changer de section en allant sur le menu Pare-feu App Web (WAF), où vous allez pouvoir paramétrer finement votre WAF.

Ici, vous allez avoir la liste de tous les domaines configuré sur votre instance d'hébergement, une ligne si vous n'avez qu'un domaine et plusieurs si vous en avez plusieurs, on rappelle qu'il est important de faire ses tests sur des versions de développement de sa boutique PrestaShop souvent en sous domaine.

Cliquez simplement sur le crayon en bout de ligne de votre domaine concerné pour arriver la liste de toutes les règles configurées et actives de votre WAF.

Ici, cela peut faire peur, mais là où PlanetHoster est votre ami, c'est qu'ils ont intelligemment intégré un moteur de recherche où il vous suffit de coller l'ID de la règle copiée précédemment pour la voir apparaitre miraculeusement.

Si le résultat de votre recherche reste vide, alors cela veut simplement dire que cette règle ne doit en aucun cas être désactivée ou seulement par un administrateur du serveur, PlanetHoster dans ce cas, il faudra donc contacter le support pour avoir plus de précision et discuter du bien fondé de désactiver cette règle.

Autant dire, si vous tombez sur ce genre de cas, il est préférable de modifier le code du script ayant provoqué cette erreur, complexe sur le cœur de PrestaShop, mais indispensable sur les modules tiers que vous avez installés, car je le rappelle encore une fois, 99% de piratages rencontrés sur PrestaShop provienne d'un défaut de sécurité sur un module tiers, non pas qu'il ne faille pas utiliser de modules tiers, mais juste bien les choisir.

Si vous obtenez un résultat dans votre recherche, peut-être verrez-vous apparaitre une ligne sans ID de règle, mais avec une belle flèche sur la droite. N'hésitez pas à cliquer dessus pour déplier cet ensemble de règles.

Alors, cherchez visuellement dans la liste la règle qui vous concerne et désactivez-la, comme le montre cette belle image en couleur.

Pas de précipitation, même si le réglage apparait comme pris en compte dans votre WAF, je vous conseille de patienter une minute ou deux avant de vous jeter sur votre backoffice PrestaShop pour renouveler la procédure problématique.

Dans tous les cas, peut être vous suffira-t-il de reprendre la procédure du début pour identifier uen autre règle si cela ne fonctionne toujours pas.

Dans tous les cas, comme j'aime bien faire durer le suspense, pour notre problématique de mise à jour de module, l'ID règle à désactiver est celle-ci :

A manipuler avec précaution

Toucher à votre WAF n'est pas un acte anodin, donc, prenez tout cela avec des pincettes, renseignez-vous et contactez le support de PlanetHoster avant de faire n'importe quoi qui pourrait mettre en péril votre boutique en ligne.

La meilleure attitude consiste à désactiver une règle uniquement lorsque vous en avez besoin et à la réactiver immédiatement afin d'éviter de laisser la porte ouverte à tout pirate potentiel. Si la règle existe, c'est qu'elle est utile.