9 conseils pour protéger votre site web contre le piratage

9 conseils pour protéger votre site web contre le piratage
9 Conseils pour Protéger votre Site Web contre le Piratage

Le Web n’est pas seulement une question de business et de gros sous. Des milliards de pages et d’articles de blog sont écrits chaque jour, chaque seconde, par de petits propriétaires de sites Web et des blogueurs qui cherchent à partager leur point de vue avec le monde. C’est ce qui fait le charme du Web : il offre un espace de relative liberté pour tout le monde.

Mais Internet est aussi une jungle sauvage qui recèle de nombreux dangers. Personne n’est réellement à l’abri d’un piratage, d’une attaque DDOS ou d’un virus. Si vous dirigez une petite entreprise sur Internet, vous savez à quel point la sécurité de votre site web et de vos transactions en ligne est primordiale. Il est important de savoir comment sécuriser son site Internet !

C’est un aspect vraiment crucial à prendre en considération lorsque vous planifiez le lancement de votre site Web : comment puis-je sécuriser mon contenu et mon travail contre les menaces externes ? Comment puis-je offrir la meilleure expérience utilisateur possible à mes visiteurs ? Ce sont des questions que vous devriez vous poser chaque fois que vous mettez à jour votre site Web.

Nos 9 astuces pour sécuriser son site Internet

Sécuriser un site n’est pas forcément à la portée de tout le monde, mais cela ne signifie pas qu’il faille impérativement être programmeur ou informaticien pour y arriver.

Nous avons donc listé 9 conseils qui sont à la fois faciles à appliquer et suffisamment détaillés pour éveiller votre curiosité sur les questions basiques de sécurité, afin que vous deveniez, lentement mais sûrement, votre propre expert en sécurité Web.

Tous les conseils sont spécifiques au piratage et nous allons également vous présenter les techniques que vous pouvez utiliser pour tester votre site Web afin de détecter les failles de sécurité. Ne vous inquiétez pas : rien de trop compliqué, mais il est important que vous vous familiarisiez avec les outils et techniques simples qui peuvent bloquer ou repousser les attaques, pour le bien de vos projets.

Conseil n° 1 : utilisez des mots de passe complexes

Les experts en sécurité Web utilisent de nombreuses méthodes pour assurer une sécurité optimale des systèmes et des transactions Web sur lesquelles ils travaillent : cryptographie à clé publique, chaînes de confiance, signatures, SSL et TSL (Transport Layer Security). 

Tout commence pourtant lors du choix de vos mots de passes !

  1. Utilisez un générateur de mots de passe fort pour obtenir un mot de passe difficile à déchiffrer, incluant des caractères alphanumériques et des symboles spéciaux. Plus les symboles sont aléatoires ou pseudo-aléatoires (c’est-à-dire qu’ils ne sont pas reliés les uns aux autres et que tous les symboles ont des chances égales de se succéder), plus le mot de passe est sûr.
  1. Utilisez un gestionnaire de mots de passes comme Dashlane, LastPass, Password Safe (Windows seulement) ou Password Gorilla pour enregistrer et crypter tous vos mots de passe, que vous pouvez déverrouiller grâce à un Master Password, un mot de passe pour les contrôler tous.
password health de dashlane
password health de dashlane

Conseil n° 2 : Faites attention à vos scripts et plugins

Il est bien connu que les scripts de sites Web et les plates-formes CMS sont les principaux véhicules des attaques de piratage.

Si vous hébergez des scripts écrits en PHP, ASP et JavaScript, sachez qu’ils peuvent avoir des failles de sécurité et des bugs que leurs développeurs pourraient avoir négligés. 

En plus de contacter le développeur immédiatement après la découverte de l’un des problèmes mentionnés ci-dessus, il existe des méthodes non techniques que vous pouvez utiliser pour vous assurer que vos scripts ne vous créeront pas de soucis sur le long terme :

  • Lisez attentivement le document de version de votre script : il contient souvent des détails sur les correctifs et les corrections de bugs.
  • Surveillez les avertissements de votre installateur de logiciel, de votre panneau de contrôle ou même de Google Webmaster Tools: si vous avez besoin de mettre à jour ou de modifier/supprimer un fichier, faites-le.
  • N’installez pas n’importe quel plug-in : vérifiez d’abord les compatibilités et les notes de sécurité.

De plus, et c’est peut-être le facteur le plus important, gardez toujours vos scripts et CMS à jour. Le dernier pack d’un logiciel contient généralement des correctifs pour les bugs et les problèmes de sécurité de la version précédente. Pensez à faire une sauvegarde de vos données avant toute mise à jour !

Mise à jour de plugins sur Wordpress
Faire des mises à jour régulières de ses plugins permet d'éviter certaines failles de sécurité !

Conseil n° 3 : effectuez des contrôles réguliers des dossiers et du panneau de contrôle

Parfois, les hackers s’immiscent dans votre site sournoisement, et peuvent engendrer de gros dégâts derrière eux : spoofing, fichiers médias contenant des virus, exécutables et pages Web recodées, etc.

Vérifiez vos dossiers régulièrement, au moins une fois toutes les deux semaines, pour vous assurer que vos fichiers ne présentent aucun problème. 

Si vous repérez des fichiers que vous ne reconnaissez pas, supprimez-les immédiatement. Si cela ne fonctionne pas, contactez votre hébergeur et obtenez de l’aide (c’est à ce moment que vous avez le plus besoin de faire appel à une bonne société d’hébergement). Dans de tels cas :

  • Changer le mot de passe de votre panneau d’administration (et le nom d’utilisateur, si possible)
  • Effectuez une vérification de tous les fichiers pour voir s’ils ont été endommagés.
  • Si vous avez un antivirus installé, exécutez-le.

Conseil n° 4 : authentification sécurisée

S’il n’est pas essentiel ici de vous familiarisiez avec la cryptographie, vous devriez commencer par apprendre à utiliser des outils d’authentification multifactorielle simples et qui ont fait leurs preuves :

Pourquoi avez-vous besoin d’une authentification multifactorielle ? 

Il vous faudra connaître votre nom d’utilisateur, votre mot de passe ET votre code d’utilisation pour accéder à votre site et contenu ; sinon, l’accès vous sera refusé. Celui-ci peut être envoyé sur votre téléphone de sorte que personne d’autre que vous ne puissiez accéder au site.

Si vous le pouvez, trouvez un expert pour vous donner des cours particuliers à mesure que vous développez vos connaissances en matière de sécurité Web, ou utilisez des tutoriels et des cours en ligne.

Conseil n° 5 : méfiez-vous des attaques DDoS

Les attaques par déni de service distribuées (DDoS, Distributed Denial of Service) évoluent rapidement et sont dangereuses, de même que le piratage de serveurs et le remplacement de vos services par des services frauduleux.

Une attaque DDoS sur un serveur engendrera un dysfonctionnement de ses principaux services, et le système entier ne sera plus disponible pour les utilisateurs finaux.

Schéma attaque DDoS

Qu’est-ce qui peut causer une attaque DDoS

  • Une configuration réseau ouverte
  • Applications avec des bugs et non mises à jour
  • Configuration de serveur non sécurisée
  • Pas de maintenance et/ou de surveillance de l’activité du réseau

Informez votre FAI et votre hébergeur de cette forme d’attaque. Ce dernier peut configurer chaque serveur avec une liste d’adresses DNS alternatives, de sorte que lorsque le DNS par défaut devient indisponible, l’ensemble du site fonctionne toujours.

Un hacker ne peut parvenir à ses fins que lorsqu’il arrive à bloquer TOUS les serveurs de la liste. Une autre contre-mesure peut être le filtrage de tous les paquets entrants avec des délais inhabituels et/ou des adresses IP à haut risque. Votre hébergeur doit être au courant des attaques par déni de service, alors discutez avec lui de la prévention des attaques DDoS.

Conseil n° 6 : accès FTP sécurisé avec SFTP

Rien ne change pour vous, cela fonctionne comme un FTP normal, mais SFTP, ou Secure FTP, offre de nombreux avantages en termes de sécurité :

  • Il utilise SSH pour crypter les données et les commandes pendant le transfert de fichiers.
  • Il utilise les clés publiques du serveur du client pour valider le serveur lors de la connexion, afin de s’assurer qu’il ne s’agit pas d’un intermédiaire.
  • Il est impossible pour un pirate de surveiller votre trafic réseau.

Le problème avec la commande FTP habituelle est qu’elle n’est pas cryptée : tous les téléchargements vers et depuis le serveur sont transmis sous forme de données claires.

Pour accéder à FTP via la ligne de commande (si vous utilisez Unix/Linux/Mac OS) vous pouvez utiliser sftp username@host ou téléchargez simplement un programme FTP gratuit qui supporte SFTP, tel que FileZilla (open source).

FTP vs SFTP

Conseil n° 7 : en savoir plus sur l’injection SQL pour s’en protéger

Méfiez-vous de cette méthode de piratage, maintenez vos scripts à jour et contactez immédiatement le développeur de script si vous rencontrez une faille de sécurité. Voici comment effectuer un test simple :

  • Entrez le code SQL suivant dans votre formulaire Web (nom d’utilisateur et mot de passe) :
    ‘ OR ‘t’=’t’ ; —
    qui devient, au niveau SQL :

    SELECT * FROM users WHERE userid=’admin’ AND password= «  ». OR  » t’=’t’ ; — « 
  • Renvoie-t-il le contenu de votre base de données ?

Le code pourrait fonctionner (on utilise le conditionnel car avec un peu de chance vous avez installé un script très sûr), puisque t’=’t’ est une instruction mathématiquement vraie, donc la requête SQL sera toujours exécutée.

Un hacker averti peut construire des instructions SQL très élaborées pour atteindre ses objectifs, alors assurez-vous de contacter le développeur de script et d’obtenir de l’aide si le script que vous utilisez est facilement attaquable. Ou changer de script.

Conseil n°8 : vérifiez régulièrement les journaux de votre panneau d’administration

Votre panneau d’administration (cPanel, Plesk, etc.) est fourni avec des outils intégrés pour l’analyse du trafic, l’accès et les journaux de sécurité que vous devez surveiller au moins une fois par semaine.

Si vous utilisez cPanel, nous vous recommandons de vérifier votre outil Analog Stats régulièrement, car il affiche un rapport détaillé avec :

  • Les requêtes HTTP
  • Les rapports mensuels, quotidiens et horaires sur l’activité du trafic
  • Les référents, navigateurs et systèmes d’exploitation d’où provient votre trafic

Les outils de journaux sont les premiers que vous devriez consulter lorsque vous pensez que votre site Web a été attaqué.

Attention certains hébergeurs comme Hostinger par exemple, ne vous donne pas accès à vos journaux ou logs serveur !

Conseil n°9 : effectuez des sauvegardes régulières

Sauvegardez vos fichiers le plus souvent possible. Avec des plug-ins comme Updraft Plus et BackupBuddy, vous pouvez définir les intervalles auxquels vos back-up seront effectués.

Ce qui compte, c’est que vous téléchargiez constamment de nouvelles copies de votre contenu, prêtes à être restaurées si un problème arrive en cours de route.

Sauvegardes et restaurations

Cet article vous a montré quel type d’attaques votre site Web pourrait subir, et comment les combattre et les prévenir, mais votre arme la plus puissante est vraiment celle-ci : les sauvegardes. C’est le seul moyen de restaurer votre site à son état d’origine, comme si le piratage n’avait pas existé.

Il est par ailleurs important de choisir un hébergeur qui propose des systèmes de sauvegardes sur serveurs tiers redondants !

Bonus Conseil n°10 : changez votre url de connexion

Si vous utilisez Wordpress comme CMS, il est possible de changer facilement l’URL de connexion de votre panneau d’administration pour ne plus utiliser /wp-admin.

Via des plug-ins comme Ithemes Security ou l’excellent WPS Hide Login de WPServeur, vous pourrez faire ce changement en quelques clics seulement !

Résumé

Pour terminer, voici ce qu’il vous reste a faire pour être au point niveau sécurité de votre site Web :

  1. Apprendre : le savoir, c’est le pouvoir ! Approfondissez vos connaissances en matière de sécurité et cryptographie, attaques DDoS, injection SQL, les scripts intersites (XSS) et d’autres types d’attaques. Tout ce qui peut vous aider à avoir une vision complète de ce qui se passe lorsque votre site est piraté. Plus vous en savez, plus vous aurez de moyens pour contre-attaquer.
  2. Tenez-vous au courant : avec des découvertes, des outils et des mises à jour de scripts. Cet article a souligné l’importance de la mise à jour et de la mise à niveau de votre logiciel de site pour assurer une protection plus solide contre les attaques.
  3. Effectuez des vérifications et des sauvegardes régulières : si vous sauvegardez régulièrement, vous pourrez restaurer !
  4. Rapport : Lorsque les choses échappent à votre contrôle, signalez les problèmes aux développeurs de scripts et à votre hébergeur. Ils sont là pour vous aider, alors faites appel à leurs services un conseil !

Conseils de sécurité des informaticiens

Le génie logiciel est un domaine intéressant que tout bon ingénieur et informaticien doit apprendre à appliquer lorsqu’il développe un logiciel.

Mais saviez-vous que cela marche aussi dans l’autre sens ? Vous, l’utilisateur, pouvez utiliser les concepts du domaine du génie logiciel pour faire des choix intelligents parmi les logiciels de site qui vous sont offerts par les développeurs. Vous pouvez :

  1. Comprendre qu’un bug peut entraîner un piratage grave de vos systèmes et une perte de données.
  2. Découvrir les 4 dimensions de la fiabilité et les utilisez à votre avantage : disponibilité, fiabilité, sûreté et sécurité.
  3. Identifier tous vos problèmes de sécurité possibles : perte de données sensibles/importantes, défaillance de certains services, coûts de reconstruction élevés (temps, argent).

Les question à se poser avant d’installer et d’utiliser un script

Fiabilité : Puis-je faire confiance à ce plug-in/logiciel ?

  • Disponibilité : Le script est-il facilement accessible pour moi ? Son développeur est-il joignable pour obtenir de l’aide ?
  • Fiabilité : Le script fonctionne-t-il bien ? A-t-il des bugs ou me pose-t-il des problèmes lorsque j’effectue des actions pertinentes par rapport à mes objectifs ?
  • Sûreté : Les dysfonctionnements et les bugs affectent-ils sérieusement la sécurité et les performances ?
  • Sécurité : Le logiciel comporte-t-il un module de sécurité intégré ? Est-ce quelque chose que je peux gérer ?
  • Réparabilité : Si quelque chose tourne mal, est-ce que je pourrai y remédier ?
  • Maintenabilité : Suis-je capable de maintenir ce logiciel tout seul ?
  • Survie : Le logiciel fonctionnera-t-il toujours sous attaque ? Puis-je bien me remettre de l’attaque ?

Les vulnérabilités

  • Logiciel : bugs, transmission transparente des données, erreurs et journaux publics.
  • Humain : mots de passe faible, répertoires non protégés, divulgation de données sensibles, manque de maintenance et de mise à jour/mise à niveau du système.
Guides Sécurité Internet
opportunites-digitales.com
Logo
Compare items
  • VPN (0)
Compare