Donner un accès FTP "de confiance" à un sous-domaine par un tiers est-il dangereux pour l'ensemble du domaine?
Je donne à un tiers "de confiance" (je dis "de confiance" car j'ai déjà travaillé avec eux auparavant, mais en réalité je ne les connais pas ...) l'accès à une version de développement de mon site x.mysite.com.
Le site est au format HTML/CSS/JavaScript statique. Il n’existe donc aucun script de base de données ou côté serveur permettant de jouer avec/disrupt.
Y a-t-il des dangers à leur donner un accès FTP au sous-domaine, mis à part le fait qu'ils suppriment tout ce qui s'y trouve (j'ai une copie de sauvegarde)?
Pourraient-ils perturber l'hébergement, ou d'autres sous-domaines/domaine racine?
Soyons clairs: il ne s'agit pas d'un accès FTP racine au domaine/serveur, et les scripts côté serveur (PHP, Java, Python, etc.) sont tous désactivés via Plesk, auxquels ils n'ont pas accès.
Plesk sait très bien configurer les paramètres de sécurité appropriés entre les comptes de domaine et les sous-domaines, y compris l'accès FTP.
De nombreux sites accordent un accès FTP à des tiers avec lesquels ils travaillent, car ils présentent moins de risques, à condition que l'accès root ne soit pas autorisé, ce qui peut être défini dans Plesk (comme vous semblez l'avoir déjà fait).
Je vous suggère de vous assurer que le nom d'utilisateur du compte FTP leur est spécifique afin que vous puissiez suivre les identifiants de connexion dans les journaux du serveur. Veillez également à utiliser un mot de passe qui ne soit pas proche de tout autre mot que vous pourriez utiliser ailleurs.
En dehors de cela, je surveillerais le contenu du répertoire FTP pour m'assurer que celui-ci, ou toute autre personne ayant potentiellement son nom d'utilisateur/mot de passe, ne diffuse rien qui ne soit indésirable sur votre site FTP. Vous pouvez facilement surveiller la bande passante vers le compte de domaine via Plesk pour vous assurer qu'elle ne fait pas l'objet d'abus, et attribuer également des allocations de bande passante maximales et des tailles de compte FTP maximales.
Plesk gère également automatiquement des éléments tels que les adresses IP abusives qui tentent de se connecter de manière répétitive (y compris les connexions FTP), de sorte que vous ne soyez plus préoccupé par les attaques par force brute si leurs informations de connexion sont dévoilées ou si votre relation commerciale prend fin. il vous suffira de changer le nom d'utilisateur et le mot de passe pour un autre mot sécurisé (ou simplement de supprimer le compte FTP).
En résumé, si vous définissez des limites de FTP et de bande passante dans Plesk, et surveillez le contenu des répertoires FTP, vous devez pouvoir accorder un accès FTP à une tierce partie avec laquelle vous faites affaire.
Si une personne peut placer du contenu sur un sous-domaine, elle peut lire et modifier les cookies de visiteurs configurés sur le domaine racine.
Ils pourraient nuire à votre réputation en publiant des éléments dans ce sous-domaine que vous n'approuveriez pas, mais qui sembleraient venir de vous.
La plupart des conséquences d'une vulnérabilité XSS (Cross Site Scripting) sont possibles, notamment l'exécution de code non sécurisé qui permet à des tiers non approuvés d'effectuer des attaques XSS.