security.txt est une norme largement répandue pour signaler les vulnérabilités de sécurité aux propriétaires de services. L’objectif principal de la norme security.txt est d’aider vos clients et les chercheurs en sécurité à vous contacter facilement lorsqu’ils trouvent une vulnérabilité dans un domaine Plesk.

À partir de la version 18.0.62, Plesk Obsidian est entièrement compatible avec la norme :

  • Le fichier security.txt est généré pour tous les domaines hébergés sur un serveur Plesk.
  • Plesk maintiendra en permanence le fichier security.txt une fois qu’il sera créé et que la fonctionnalité sera activée.
  • Plesk prend en compte le fichier personnalisé security.txt d’un domaine et n’applique jamais les politiques de sécurité du fichier du serveur au domaine.
  • Plesk met automatiquement à jour la date d’expiration du fichier.

Pour rendre votre serveur Plesk conforme à la norme security.txt :

  1. Connectez-vous à Plesk.

  2. Installez l’extension « Conformité native security.txt ».

  3. Une fois l’extension installée, cliquez sur Ouvrir.

  4. Cochez la case « Enable compliance with the « security.txt » (« Activer la conformité avec la norme « security.txt » dans Plesk »).

    image security txt extension

  5. (Facultatif) Pour modifier le fichier security.txt par défaut généré par Plesk, cochez la case « Use the custom security.txt text » (Utiliser le texte security.txt personnalisé) ». Spécifiez ensuite ce qui doit être modifié dans le champ « Security.txt text » (Texte security.txt) qui devient disponible. Vous pouvez également modifier le fichier depuis l’interface en ligne de commande.

  6. Enregistrez vos modifications en cliquant sur :

  • Save (Enregistrer) pour enregistrer la configuration et appliquer les modifications manuellement par la suite. Par exemple, vous pouvez le faire pour accorder plus de temps à vos clients. Ils pourront ainsi reconfigurer leurs domaines conformément aux modifications et éviter d’éventuels problèmes. Vous pouvez reconfigurer le serveur manuellement en exécutant la commande CLI plesk repair web.
  • Save and Reconfigure (Enregistrer et reconfigurer) si vous souhaitez appliquer les modifications et reconfigurer le serveur Plesk dès maintenant.

Votre serveur Plesk est désormais conforme à la norme security.txt.

Utilisation de l’utilitaire de ligne de commande

Vous pouvez utiliser l’utilitaire de ligne de commande plesk ext security-txt-plesk pour mettre à jour votre configuration security.txt. Cet utilitaire accepte les commandes suivantes :

  • --help` : imprime toutes les commandes ``security-txt-plesk disponibles.

  • --status : indique si le serveur Plesk utilise les politiques security.txt. Si vous avez activé la politique security.txt par défaut, la valeur value: on sera renvoyée. Si vous avez activé une politique security.txt personnalisée ou utilisé un chemin de fichier personnalisé, la valeur value: custom sera renvoyée.

  • –enable : cette option permet à tous les domaines de votre serveur Plesk d’utiliser les politiques security.txt par défaut. Elle désactive les chemins de fichiers personnalisés et l’option « Use the custom security.txt text » (Utiliser le texte security.txt personnalisé) » dans le menu des extensions.

  • --disable : définit tous les domaines de votre serveur Plesk pour ignorer toutes les politiques security.txt.

  • -path : définit un nouveau chemin d’accès pour le fichier security.txt. Pour définir un nouveau chemin d’accès pour un fichier security.txt, vous devez d’abord avoir un fichier security.txt à cet emplacement.
    Note:

    Pour que cette commande fonctionne, vous devez d’abord activer l’option « Use the custom security.txt text » (Utiliser le texte security.txt personnalisé) » dans le menu de l’extension Native security.txt compliance » (Conformité native security.txt)». Ensuite, vous devez inclure la commande --reconfigure-all. Par exemple, pour utiliser un répertoire security personnalisé pour votre fichier security.txt, créez le nouveau fichier et le nouveau répertoire. Ensuite, exécutez la commande suivante : plesk ext security-txt-plesk -path /security/security.txt --reconfigure-all.

  • --reconfigure-all : met à jour tous les domaines sur le serveur Plesk pour utiliser la nouvelle configuration security.txt.