Orbiter · Shield & Fortress

Vos CMS, blindés
au niveau kernel.
WAF + anti-exfiltration intégrés.

Shield monte le code de vos sites en lecture seule au niveau noyau Linux. Fortress ajoute WAF nginx, hardening PHP, scanner d'uploads temps réel et contrôle de sortie réseau. Pas de chmod cosmétique — protection réelle, kernel-enforced.

Demander une démo Retour a l'accueil

Couche 1 — Shield

Protection blindée au niveau noyau

Le docroot est monté en lecture seule au niveau VFS du kernel via Docker bind mount :ro. Même un root compromis dans le container ne peut pas écrire.

Mont :ro kernel

Bind mount Docker en read-only au niveau VFS. Aucun chmod, chattr ou exploit PHP ne contourne ça. Protection structurelle, pas cosmétique.

8 profils CMS pré-configurés

WordPress, WooCommerce, Joomla, PrestaShop, Magento, Drupal, Laravel et Custom. Chaque profil sait quels dossiers garder en écriture (uploads, cache, sessions).

Dossiers RW chirurgicaux

Seuls les dossiers réellement nécessaires (wp-content/uploads, cache, logs) restent en écriture. Tout le reste — core, plugins, thèmes — est immuable.

Exec-block nginx en RW

En complément du mont kernel, nginx renvoie 403 pour tout .php / .phtml / .phar / .pl / .cgi / .sh / .py uploadé dans les zones writable. Défense en profondeur.

Audit watchdog 5 min

Le cron healthcheck vérifie depuis l'intérieur du container que le docroot est toujours en lecture seule. Détecte instantanément toute dérive de mount.

Activation 1 clic, réversible

Bouton dans l'UI ou commande CLI shield-enable. Activable depuis la création du container. Désactivable à chaud sans perte de données.

Démonstration

Chmod cosmétique vs mount kernel

Protection chmod classique

Niveau d'applicationUserspace

Contournement PHPchmod()

Contournement rootTrivial

Drop d'un .php malveillantSuccède

Détection par auditAucune

Shield (Docker :ro)

Niveau d'applicationVFS kernel

Contournement PHPImpossible

Contournement rootImpossible

Drop d'un .php malveillantEROFS

Détection par auditWatchdog 5 min

Couche 2 — Fortress

Anti-exfiltration en couches

WAF nginx généré par règle, hardening PHP, scanner d'uploads temps réel et contrôle de sortie réseau. Activable / désactivable couche par couche.

WAF nginx 7 règles

SQLi, LFI, XSS, RFI, scanners, fichiers sensibles, exec PHP en zones uploads, xmlrpc, rate-limit. Généré à partir du store, injecté au reconfigure-domain.

Scanner uploads temps réel

Service systemd par domaine. Check MIME (libmagic), pattern PHP, ZipSlip, SVG, PDF, entropie Shannon, régénération Pillow image. 7 checks individuels.

Hardening PHP

disable_functions chirurgical (exec, system, passthru, ...) + open_basedir + extra-disable / extra-allow par domaine. Mode strict optionnel pour les zones à risque.

Egress contrôlé

3 modes : permissive (défaut), standard (block bind-shell vers IPs non whitelisted), strict (DNS interne + IP allowlist stricte). Empêche l'exfiltration de données.

Hardening WordPress

Block xmlrpc.php, block REST API si non utilisé. Mu-plugin déposé dans wp-content/mu-plugins/ pour les protections inline.

Test WAF intégré

Bouton « Tester le WAF » lance un vrai curl avec payload SQLi vers le domaine et vérifie que nginx renvoie 403. Validation continue, pas déclarative.

Démo gratuite

Voyez Shield + Fortress en action

Démo live : on tente une upload PHP malveillante sur un WordPress, on regarde Shield + Fortress repousser. Sans engagement.

Prénom & Nom *

Email professionnel *

Société / Structure

Téléphone

Votre profil

Freelance

Agence web

Hébergeur

Provider / masse

Nombre de sites hébergés

Moins de 10

10 – 50

50 – 200

Plus de 200

Date souhaitée *

Créneau horaire *

Selectionnez une date pour voir les creneaux disponibles

Fuseau horaire : Paris (CET/CEST) — Du lundi au vendredi

Présentation en français ou en anglais

Votre besoin en quelques mots

Vérification anti-spam *

2 + 6 =

Sans engagement · Réponse sous 24h · Support D4.FR dédié

Vos CMS, blindésau niveau kernel.WAF + anti-exfiltration intégrés.