Configuration PHP (Plesk) : Problèmes de Paramètres et Versions

Vérifier la version PHP que vous utilisez actuellement pour votre site web sur votre plateforme d’hébergement Plesk :

  1. Dans le menu Plesk, allez dans la rubrique Paramètres PHP
  2. Cliquez sur le menu déroulant “Prise en charge de PHP (Version de PHP)” pour voir toutes les dernières versions disponibles
  3. Choisissez la version PHP la plus récente compatible avec votre environnement d’hébergement

Attention : si vous laissez une version obsolète active sur votre site web, vous vous exposez à des failles de sécurité et à des risques importants, comme la perte et le vol de données, le defacement, ou pire encore.
Si vous choisissez une version non compatible avec votre site et votre environnement, vous risquez de tout casser et que plus rien ne fonctionne.
Procédez avec précaution et vérifiez la compatibilité entre les versions PHP et votre site web en effectuant quelques tests préalables.

Version PHP Plesk
Paramètres PHP dans le menu Plesk de votre domaine
Liste des versions PHP
Activer la prise en charge de PHP et choisissez la dernière version compatible avec votre système

Vérifier le module d’exécution PHP : FPM ou FastCGI

Module d'exécution PHP
Module d’exécution PHP : FPM ou FastCGI

Paramètres PHP personnalisés :
• Vérifier vos paramètres PHP de performances et de sécurité
• Vérifier vos paramètres PHP communs
• Vérifier vos paramètres PHP-FPM ou PHP-FastCGI

Important : vous ne pouvez pas modifier directement vos paramètres PHP personnalisés. Envoyez-nous votre demande de modification depuis l’adresse authentifiée chez SafeBrands en précisant le nom de domaine et les paramètres PHP souhaités, à support@safebrands.com.

Paramètres PHP personnalisés
Paramètres PHP personnalisés

Si vous rencontrez des problèmes de modification des paramètres php et de faux positifs (allow_url_fopen ON sur Plesk, et OFF sur PHP.INI), il s’agit probablement d’un problème de configuration et de versions PHP.

Dans ce cas, lorsque la modification PHP n’est pas prise en compte, vous devez d’abord nettoyer la configuration apache sur l’interface Plesk pour le domaine concerné, puis effectuer les modifications PHP voulues directement dans Plesk.

Sur certains serveurs, lorsque le domaine est en cgi ou fast-cgi, alors les paramètres personnalisés appliqués via l’interface Plesk ne sont pas transmis à apache. Les modifications effectuées depuis Plesk sur les paramètres PHP ne prendront donc pas effet, et ne seront par conséquent pas visibles sur le PHP.INI du domaine. Dans ce cas, il faut passer par le fichier de paramétrage personnalisé du domaine /var/www/vhosts/system/”nom domaine”/etc/php.ini.

En effet, en fonction de la configuration PHP choisie, il ne sera pas possible d’avoir de façon stable des paramètres PHP personnalisés et d’utiliser le PHP ini.

Il faudra donc passer sur des versions qui permettent d’avoir des php.ini personnalisés (par exemple PHP 7), et ainsi les modifications effectuées depuis Plesk sur les paramètres PHP prendront effet et seront appliquées.

FPM (FastCGI Process Manager) est une implémentation alternative à PHP FastCGI avec quelques fonctionnalités additionnelles particulièrement utiles pour les environnements à haute charge (https://www.php.net/manual/fr/install.fpm.php).

Types de gestionnaires PHP :
Plesk assure la prise en charge intégrale du langage de script PHP, ainsi que plusieurs versions et types de gestionnaires PHP, le tout, prêt à l’emploi. Cette section répertorie les types de gestionnaires PHP qui sont utilisés dans Plesk.

Type de gestionnairePerformancesUtilisation mémoireDétails sur le gestionnaire
Module ApacheÉlevéesFaiblesCe gestionnaire est disponible uniquement dans Plesk pour Linux. Il s’agit de l’option de sécurité la moins performante, car les scripts PHP sont exécutés au nom de l’utilisateur Apache. Autrement dit, tous les fichiers créés par les scripts PHP de tout abonné d’un pack ont le même propriétaire (apache) et le même jeu de droits. C’est pourquoi, il est possible qu’un utilisateur affecte les fichiers d’un autre utilisateur ou des fichiers système importants. Vous pouvez éviter certains problèmes de sécurité en activant l’option safe_mode PHP. Cela désactive plusieurs fonctions PHP qui présentent des risques de sécurité potentiels. Cela peut entraîner le dysfonctionnement de certaines applications Web. L’option safe_mode est considérée comme obsolète. Elle a été supprimée de PHP 5.4.
Extension ISAPIÉlevéesFaiblesCe gestionnaire est disponible uniquement dans Plesk pour Windows. L’extension ISAPI permet d’isoler le site dans le cas où un pool d’applications IIS dédié est activé pour les abonnements. Isoler le site signifie que les sites des différents clients exécutent leurs scripts de manière indépendante. Par conséquent, une erreur dans un script n’affecte pas le fonctionnement des autres scripts. En outre, les scripts PHP s’exécutent au nom d’un utilisateur système associé à un compte d’hébergement. Le gestionnaire de l’extension ISAPI n’est plus pris en charge depuis PHP 5.3.
Application CGIFaiblesFaiblesLe gestionnaire CGI permet d’exécuter les scripts PHP au nom d’un utilisateur système associé à un compte d’hébergement. Sur Linux, ce comportement est possible uniquement si le module suEXEC du serveur Web Apache est activé (option par défaut). Dans les autres cas, tous les scripts PHP sont exécutés au nom de l’utilisateur apache. Par défaut, le gestionnaire CGI n’est pas disponible pour les clients Plesk.
Application FastCGIÉlevéesÉlevéesLe gestionnaire FastCGI exécute les scripts PHP au nom d’un utilisateur système associé à un compte d’hébergement.
Application PHP-FPMÉlevéesFaiblesCe gestionnaire est disponible uniquement dans Plesk pour Linux. PHP-FPM est une version avancée de FastCGI, qui présente de nombreux avantages pour les applications Web à fort trafic.

Plus d’informations :
• Paramètres PHP Plesk : https://docs.plesk.com/fr-FR/onyx/administrator-guide/g%C3%A9rer-des-sites-web/sites-web-et-domaines/param%C3%A8tres-d%E2%80%99h%C3%A9bergement/param%C3%A8tres-de-script-web/param%C3%A8tres-php.70742/
• Types de gestionnaires PHP Plesk : https://docs.plesk.com/fr-FR/onyx/administrator-guide/h%C3%A9bergement-web/gestion-de-php/types-de-gestionnaires-php.75145/

Note importante :

Des failles de sécurité existent sur les versions obsolètes PHP et des Systèmes de Gestion de Contenu (CMS) tels que WordPress, Joomla et Drupal.
Si vous ne l’avez pas encore fait, nous vous invitons vivement à vérifier et à effectuer les dernières mises à jour disponibles pour le PHP, ainsi que pour votre gestionnaire de contenu si vous en utilisez un, ainsi que pour vos thèmes et plugins, afin de protéger votre site web de ces failles de sécurité en vous connectant à votre interface de gestion de votre hébergement (Plesk).

Les failles proviennent dans la plupart des cas de versions obsolètes de CMS (WordPress, Joomla, Drupal…), de versions PHP obsolètes, des thèmes et des plugins installés, activés ou non (https://support.safebrands.com/plugins-wordpress-pirates-dangereux-vulnerables/). Nous vous recommandons de ne conserver sur votre hébergement que des thèmes et extensions installées et actives. Supprimez les autres.
Nous vous rappelons qu’il est important de garder à jour votre CMS, votre version PHP, ainsi que toutes les applications, thèmes et extensions que vous avez installées sur votre hébergement, de façon à utiliser vos services et votre site web en toute sécurité et de manière optimale, et pour prévenir toute attaque / intrusion.

L’exploitation des failles de sécurité présentes sur votre site pourra avoir notamment comme effet :
–          L’émission de Spam ou de fishing à partir de votre site Internet ;
–          La suppression ou defacement de votre site Internet ;
–          Le détournement de données personnelles et usurpation d’identité ;
–          L’utilisation abusive des ressources de la plateforme mutualisée. 

Pourquoi faire la mise à jour de version PHP ?
Vous devez absolument choisir une version récente et stable.
Les 3 principales raisons de tenir à jour la version PHP :
1. Tout comme pour une version obsolète de votre CMS (WordPress, Joomla, Drupal…), une version obsolète de PHP vous fait courir de graves risques en matière de sécurité. PHP est le principal logiciel faisant tourner votre CMS. Utiliser une version obsolète de PHP vous expose à des failles de sécurité qui ne seront jamais sécurisées. C’est d’abord une question de sécurité !
2. Utiliser une version récente de PHP assure la compatibilité de votre environnement. Si vous ne mettez jamais à jour la version de PHP, alors vous risquez tôt ou tard de rencontrer des problèmes de compatibilité avec une de vos applications, thèmes et/ou extensions. 
3. Augmentation significative de la vitesse d’exécution. Les nouvelles versions de PHP apportent régulièrement un gain en termes de vitesse d’exécution, ce qui se traduit par une amélioration de la vitesse de chargement des pages de votre CMS.

Plus d’informations et d’aide sur PHP :
https://www.phpfacile.com/apprendre_le_php/introduction_a_php
https://www.phpfacile.com/
https://www.php.net/manual/fr/
https://www.php.net/supported-versions.php
https://www.php.net/eol.php