CPanel, c'est pas net alors pensez à mettre à jour

Image illustrant l'article : CPanel, c'est pas net alors pensez à mettre à jour

CPanel, c'est pas net alors pensez à mettre à jour

par Korben -

Si vous avez été un jour débutant en administration serveur, vous connaissez forcément CPanel. C’est un outil qui est souvent proposé par les hébergeurs, qui permet d’administrer l’ensemble des services de son serveur (serveur web, serveur FTP, ssh, MySQL…etc.) directement au travers du navigateur à l’aide une interface sympathique pour les débutants.

Le truc c’est que moi j’ai jamais vraiment aimé CPanel. Pas parce que je considère ça comme un outil pour les novices et que j’ai chopé le melon de l’élite Linux. Mais plutôt parce que ça augmente tout simplement la surface d’attaque sur votre machine. Car à la moindre faille sur CPanel, c’est tout votre serveur qui est à la merci du cybercriminel en pantoufle.

Et ce cauchemar vient de se produire puisqu’une faille 0day a été découverte par Digital Defense qui permet de contourner l’authentification double facteur de CPanel et WebHost Manager (WHM).

Cela veut dire que si un attaquant possède le login / mot de passe de votre CPanel ou s’il le trouve en faisant un petit bruteforce, il peut parfaitement accéder à l’interface d’administration de votre serveur et cela même si vous avez activé la double authentification (2FA). C’est moche.

![Mise à jour de CPanel pour une meilleure sécurité](cPanel_interface-1-1024x751.webp)
Mais heureusement, cette découverte de vulnérabilité s'est faite [dans un cadre de remontée coordonnée](https://korben.info/coordinated-vulnerability-disclosure.html), donc l'éditeur CPanel a été informé et [des mises à jour sont sorties](https://news.cpanel.com/cpanel-tsr-2020-0007-full-disclosure/).

Donc mon conseil sera le suivant : si vous pouvez vous passer complètement de CPanel (et spoil : VOUS POUVEZ ! YOU CAN DO IT ! BECAUSE YOU CAN !) faites-le. Autrement, pensez bien à mettre à jour cet outil.

Allez, bisous comme dirait l’autre.

Merci à Gilbert pour l’info !

Que faire après le bac quand on est passionné de cybersécurité ?

Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus