Dès que vous avez une présence sur Internet, et ce, quelque soit le type de votre site Web, des milliers de pirates informatiques et autres robots malveillant seront là pour chercher la moindre faille et l’exploiter à leur avantage pour divers actions. Voici les règles de base à respecter pour sécuriser un minimum son site Internet sans être un expert.
La sécurité des sites Web fait souvent la Une des actualités car les fuites de données sont devenues très médiatisées depuis la mise en place du RGPD. Il suffit d’une cyberattaque pour qu’un entreprise ou marque perde toute sa crédibilité si des pirates parviennent à dérober des données sensibles. Les e-menaces et autres cyberattaques sur les sites Web augmentent considérablement chaque année, quelque soit l’activité ou la notoriété. C’est pour cela qu’il faut connaître les règles de base pour se protéger un minimum…
Un cybercriminel pourra s’introduire via une vulnérabilité de votre site Web sur votre serveur et réaliser toutes sortes d’actions malveillantes, parfois transparente pour vous le propriétaire : injection de code JavaScript malveillant, vol de données en base de données, utiliser votre serveur pour envoyer du spam, stocker et distribuer des malwares et des fichiers illicites, minage de crypto-monnaie, etc, etc, la liste complète des possibilités serait bien trop longue !
Comment donc sécuriser son site Internet ?
1. Effectuer des mises à jour régulières
Il s’agit là de l’étape la plus importante et fondamentale ! Que vous utilisez des outils open source pour développer vous-même le site Web (version du framework, version PHP, version serveur SQL, version de Linux, etc) ou que vous vous basez sur des CMS de contenu (WordPress, Joomla!, Drupal, PluXML, Spip, etc) ou e-commerce (Prestashop, Magento, etc), mettre tous les éléments à jour est primordial. Il est important de faire des mises à jour dès que possible à la sortie d’une nouvelle version de chaque logiciel ou outil, en particulier des scripts ou des plugins. Tous les logiciels open-source évoluent constamment et sont analysé par la communauté en permanence et des failles peuvent être découvertes et corrigées à tout moment. Ce type de failles de sécurité au sein d’un CMS ou d’un de ses plugins représente l’une des façons les plus courantes pour les pirates d’accéder à votre site internet. Pensez-y en priorité donc !
Si vous n’utilisez pas un CMS (car vos besoins nécessitent du sur-mesure par exemple), faites appel à une entreprise en développement web pour la création du site si vous n’êtes pas vous-même développeur Web et formé sur les bonnes pratiques liées à la sécurité.
2. Attribuez les bons droits sur les fichiers et répertoires du FTP
Attribuez par FTP aux fichiers les droits chmod 444 ou 404 (pour les plus sensibles) et aux dossiers les droits chmod 505 (705 si des écritures y sont faites). Bannissez le chmod 777 sur les fichiers et répertoires car cela signifie que tout le monde peut y écrire ! C’est, sans conteste, la règle la plus efficace et indispensable. Les chmod restrictifs peuvent être modifiés pour une mise à jour du CMS et remis ensuite à une valeur moindre.
De plus, exploitez au mieux les fichiers htaccess pour gérer la sécurité d’accès.
3. Déployez HTTPS
Un certificat SSL (abréviation de Secure Socket Layer) ou certificat numérique / électronique est une méthode de sécurisation très efficace : il s’agit d’un fichier de données qui relie une clé cryptographique aux informations relatives à un individu ou une personne morale. Toutes les données échangées avec un site ainsi sécurisé sont chiffrées et identifiées. Initialement utilisé pour sécuriser les transactions financières, le certificat SSL s’étend désormais à l’ensemble des pages d’un site Web pour le sécuriser et l’authentifier. L’immense majorité des sites e-commerces notamment disposent d’un certificat SSL pour garantir la sécurité des transactions à leurs utilisateurs mais aussi la sécurité de leurs données personnelles.
On reconnait un site sécurisé par l’URL qui commence par HTTPS et la présence d’un cadenas dans la barre d’adresse du navigateur. En plus de sécuriser votre site Web, un certificat SSL améliore maintenant votre référencement car il est devenu la norme pour Google : ainsi, chaque site de qualité doit désormais être accessible en HTTPS. Le certificat SSL est donc primordial pour sécuriser votre site Internet !
4. Choisissez le bon hébergeur
Choisissez le meilleur hébergement Web en vous basant sur les comparatifs et les avis d’utilisateurs. Parfois, payer le prix sera un gage de sécurité (si vous obtenez plus d’outils de sécurité déployés). Préférez les fournisseurs d’hébergement Web réputés qui offrent des fonctionnalités de bases incluses (certificat SSL gratuit par exemple) ainsi qu’un accès SSH si vous en avez besoin et des sauvegardes régulières automatiques. OVH, LWS, 1&1, etc, les hébergeurs Web connus et reconnus (et parfois pas cher) ne manquent pas. Prudence extrême si vous optez pour un serveur VPS ou dédié : une infogérance sera alors obligatoire pour paramétrer de manière sécurisée le serveur si vous n’êtes pas du métier !
5. Injections SQL
Les injections de SQL sont les plus dangereuses car elles donnent accès direct à la base de données du site, là où sont stockées toutes les informations sensibles. Si un pirate parvient à injecter votre site (à travers les formulaires Web ou les requêtes POST ou GET des URL), pourront pirater votre site très rapidement. Pourquoi ? Car si vous ne filtrez pas les données provenant de l’ensemble des champs d’un formulaire Web, les pirates informatique pourront y insérer des codes malveillants capables d’ouvrir un accès en lecture à la base de données SQL.
Afin de protéger votre site Web contre ces injections, il faut utiliser en permanence des requêtes préparées ou alors appliquer des filtres drastiques sur les types des données et leur nature.
6. Les attaques XSS
Ces attaques exploitent les champs de formulaire Web HTML pour tenter de tromper l’usager et de manipuler le navigateur Web des visiteurs. Cela peut être très dangereux, surtout allié à du phishing par exemple. Les attaques XSS (ou Cross-site scripting) font référence à l’insertion de balises de script malveillantes et de JavaScript dans votre site Web, ce qui peut se propager sur les comptes de tous les visiteurs qui affichent la page sur laquelle il a été inséré (XSS persistant / stored vs reflected XSS). Pour prévenir les attaques XSS, assurez-vous que les visiteurs ne puissent jamais insérer de script sur votre site et filtrez tous les champs de saisie.
7. Mots de passe et protection
Utilisez toujours des mots de passe complexes, mêlant lettres minuscules, majuscules, chiffres, et caractères spéciaux pour tous vos comptes et surtout pour le compte administrateur de votre site. Utilisez un générateur de mot de passe sécurisé pour vous aider puis stockez-le à l’abri dans un gestionnaire de mot de passe.
De plus, assurez-vous que tous ceux qui ont accès à votre site Web utilisent un mot de passe sécurisé et impossible à deviner. En effet, l’utilisation d’un mot de passe faible par un utilisateur ayant certains droits octroyés pourrait mettre en danger tout votre site Internet et tous les comptes visiteurs.
8. Outils de sécurité Web
Il existe des outils efficaces qui peuvent analyser le niveau de sécurité global de votre site. Après avoir appliqué toutes les mesures de sécurité énoncées ci-dessus, il est temps de vérifier la sécurité de votre site Web. On les appeler les scanners de vulnérabilité. Certains sont gratuits et les meilleurs sont payants. Ces derniers pourront facilement tester si le site en question est vulnérable aux attaques par injections SQL ou attaques XSS.
9. Faire des sauvegardes
Si un incident venait à se produire malgré vos efforts, vos sauvegardes seront le seul moyen de rétablir le site en état à une date antérieure avant sa compromission.
Bien entendu, ce guide n’est pas exhaustif et de nombreuses vulnérabilités et attaques existent. CSRF, RFI, LFI, clickjacking, phishing, redirection malveillante ou encore backdoor PHP, il y en a des centaines ! Quelques derniers conseils de sécurité à appliquer au quotidien :
- Ne laissez jamais votre session ouverte lorsque vous n’êtes pas devant votre écran car quelqu’un pourrait s’en servir à votre insu
- Ne donnez jamais vos informations personnelles à un tiers, que ce soit par mail ou par téléphone, même si cette personne prétend appartenir à une société de confiance (alerte phishing !)
- Ne cliquez jamais sur les liens suspects ou sur les pièces jointes avec des extensions étranges, même si ceux si semblent venir d’une connaissance
- Si vous possédez un site WordPress (ou autre CMS populaire), évitez les plugins douteux non mis à jour régulièrement car ils pourront présenter des failles qui seront des portes grandes ouvertes pour les pirates
- Activez antivirus, VPN et pare-feu.
Note : présence de lien sponsorisé.
Thanks for sharing!
Les commentaires sont fermés.