Alternative à cPanel auto-hébergée : pourquoi nous avons créé ShadowPanel
cPanel a revu ses tarifs en 2019 et n'a jamais regardé en arrière. Voici pourquoi nous avons créé une alternative auto-hébergée — et ce que cela signifie pour les développeurs et agences facturés par compte.
Le jour où cPanel a changé sa tarification
En juin 2019, cPanel a discrètement annoncé une refonte tarifaire qui allait bouleverser l'économie de l'hébergement mutualisé. Les licences auparavant à prix fixe mensuel sont passées à une facturation par compte cPanel — chaque client hébergé ajoutait désormais à la facture.
Pour les petits hébergeurs gérant quelques dizaines de sites, l'impact était gérable. Pour les agences et développeurs administrant des centaines de sites clients, la facture mensuelle s'est soudainement multipliée par trois, cinq, voire dix.
La communauté a réagi avec frustration. Des fils de discussion sur WHT et Reddit ont documenté des opérateurs en train de migrer leurs clients en urgence vers des alternatives. Certains sont restés malgré la hausse. D'autres ont commencé à chercher autre chose.
Nous faisions partie de ceux qui cherchaient autre chose.
Ce que font bien les panels gratuits — et là où ils trouvent leurs limites
Après le choc tarifaire de cPanel, plusieurs panels gratuits et open source ont gagné en popularité : HestiaCP, CloudPanel, CyberPanel et aaPanel ont chacun attiré leur part d'utilisateurs.
Ils sont réellement utiles pour des configurations simples. Mais après des années à gérer de l'hébergement en production, nous nous heurtions toujours aux mêmes obstacles :
Marque blanche et comptes revendeurs — HestiaCP dispose d'un support multi-utilisateurs basique, mais construire une offre revendeur digne de ce nom avec des sous-comptes personnalisés, des limites de sites par revendeur et une facturation isolée n'est pas supporté ou nécessite un développement custom conséquent.
Workflows modernes pour développeurs — Git deploy avec webhooks signés, gestion de conteneurs Docker, environnements de staging avec déploiement en un clic : ces fonctions sont soit absentes, soit greffées comme des rustines dans la plupart des panels gratuits.
Qualité de l'interface — CloudPanel a un design propre, mais les autres livrent des interfaces qui ressemblent à 2012. Un développeur qui travaille dans VS Code et déploie via GitHub Actions le remarquera immédiatement.
Posture de sécurité — CyberPanel a connu une série de vulnérabilités médiatisées. aaPanel intègre de la télémétrie qui met mal à l'aise les opérateurs européens soucieux de la vie privée. Ce ne sont pas des bloquants, mais ils méritent d'être mentionnés.
Rien de tout cela n'est une critique des équipes derrière ces panels — construire un panneau de contrôle d'hébergement complet est genuinement difficile, et ils l'ont fait gratuitement. Mais après évaluation, nous avons conclu que la combinaison fonctions agence + workflows dev modernes + UI soignée + sécurité solide n'existait pas dans un seul produit.
Ce que nous avons voulu construire
ShadowPanel a commencé comme un outil interne. Nous avions besoin d'un panel pour héberger les sites de nos clients qui :
- Tourne sur notre propre VPS — pas de phone-home par compte, pas de dépendance à un plan de contrôle tiers.
- Couvre la pile complète — DNS, email, SSL, bases de données, sauvegardes, pare-feu — pas seulement un déployeur qui s'arrête à Nginx.
- Supporte les workflows agence — marque blanche avec logo et couleurs personnalisés, sous-comptes revendeurs, quotas de sites par revendeur.
- Se sente moderne — UI React, mode sombre/clair, gestion des sites par onglets, notifications en temps réel via SSE.
- Soit tarifé équitablement — une licence forfaitaire unique ou annuelle, pas un abonnement par serveur ou par compte qui évolue contre vous.
Après l'avoir construit, nous avons décidé de le publier.
Comment fonctionne ShadowPanel
Chaque installation ShadowPanel comprend :
Gestion des sites
Chaque site dispose de son propre pool PHP-FPM tournant sous un utilisateur Linux dédié, avec application de open_basedir pour empêcher l'accès inter-sites. Les versions PHP de 5.6 à 8.4 peuvent être assignées par site. Les vhosts Nginx sont gérés automatiquement.
SSL
Les certificats Let's Encrypt sont émis à la création du site et renouvelés automatiquement 30 jours avant expiration. Les certificats wildcard sont supportés.
Bases de données
Chaque site dispose d'une base MySQL/MariaDB isolée et d'un utilisateur dédié, provisionnés par le daemon privilégié — sans credentials root partagés.
Stack email complète via Postfix et Dovecot : créer des boîtes mail, définir des mots de passe, accéder au webmail. Les enregistrements DNS sont créés automatiquement.
DNS
Zones et enregistrements BIND9 gérés depuis l'interface du panel, avec support de l'API DNS Hetzner pour un DNS externe.
Sauvegardes
Sauvegardes à la demande et planifiées vers du stockage compatible S3 (Pro/Agency). Les archives sont optionnellement chiffrées en AES-256 GPG.
Sécurité
Gestion du pare-feu UFW, configuration Fail2ban et intégration CrowdSec — tout visible et configurable depuis le tableau de bord.
Architecture : pourquoi la séparation des privilèges est non-négociable
La partie dont nous sommes les plus fiers est l'architecture. La plupart des panels tournent tout en root ou via un seul processus privilégié. ShadowPanel divise les responsabilités :
Navigateur → HTTPS → Nginx
└→ Socket Unix → Processus API (user: shadowpanel)
└→ Socket Unix → Daemon (user: root)
L'API gère l'authentification, la validation, le rate limiting et la logique métier. Elle ne touche jamais directement au système de fichiers ni n'exécute de commandes.
Le Daemon expose une liste blanche stricte de commandes typées et validées par Zod via un socket Unix. Chaque commande utilise execFile — jamais exec, jamais de concaténation de chaînes shell. Un processus API compromis ne peut pas escalader les privilèges au-delà de ce que la liste blanche autorise.
Les actions admin qui mutent les licences ou les rôles requièrent une vérification second facteur embarquée dans le JWT. Les entrées de cache Redis pour les permissions utilisateur sont signées HMAC-SHA256 pour qu'une compromission Redis ne puisse pas escalader un utilisateur en admin.
Ce que ShadowPanel ne fait pas encore
La transparence est importante. ShadowPanel est un produit relativement jeune. À ce jour :
- Pas de support Windows — Ubuntu 22.04 et 24.04 LTS uniquement.
- Pas d'OpenLiteSpeed — Nginx + PHP-FPM uniquement. LiteSpeed n'est pas à la roadmap pour l'instant.
- Pas de CDN intégré — vous devrez configurer Cloudflare ou un CDN similaire séparément.
- Pas de marketplace — pas encore d'écosystème de plugins. Les extensions sont sur la roadmap.
- Support communautaire uniquement sur le palier gratuit — les plans payants incluent un support prioritaire par email.
Nous préférons que vous l'installiez en le sachant plutôt que de le découvrir après migration.
Démarrer — palier gratuit, sans carte bancaire
Le palier gratuit de ShadowPanel supporte 3 sites sur un seul serveur, sans limite de durée et sans carte bancaire.
Installation sur un VPS Ubuntu 22.04 ou 24.04 vierge :
curl -fsSL https://shadowpanel.de/install.sh | bash
L'installeur prend 5 à 10 minutes et affiche vos identifiants admin à la fin. Ouvrez https://<votre-domaine>:2087 pour vous connecter.
Si vous avez besoin de plus de 3 sites ou des fonctions Pro (Git deploy, Docker, staging, sauvegardes automatiques, installeur 1-clic), consultez la page tarifs.
Suivez l'actualité
Nous publions des mises à jour régulièrement. Abonnez-vous au changelog pour être notifié des nouvelles versions. Si vous rencontrez des problèmes, ouvrez un ticket de support ou rejoignez la communauté Discord.
Nous avons construit ceci parce que nous en avions besoin nous-mêmes. Nous espérons que cela vous sera utile.