6 étapes pour sécuriser votre site Web
Vous pensez peut-être que votre site n’intéresse pas les hackers ? Et bien, c’est faux ! En effet, les pirates ne souhaitent pas attaquer votre site Web en particulier mais tous ceux qui sont vulnérables à leurs attaques. Comment font-ils ? Les hackers recherchent ainsi une faille de sécurité pour la développer, la programmer et lancer un script qui va parcourir Internet. Ce dernier va ainsi infecter tous les sites Internet mal protégés qu’ils trouveront sur leur passage. Tenaces, les pirates peuvent également installer un fichier malveillant ou un mouchard sur les sites Web attaqués. Si ces site n’ont pas améliorer leur sécurité lors de leur réinitialisation, ils aviseront le pirate et le script reviendra affecter le site.
Pour éviter de tomber dans les filets des hackeurs, voici nos six conseils pour vous aider à maintenir votre site Internet en toute sécurité.
1 . Maintenir le logiciel à jour
Cela peut sembler évident, mais s’assurer que vous gardez tous les logiciels à jour est vital pour maintenir votre site sécurisé. Cette mise à jour s’applique à la fois au système d’exploitation du serveur et aux logiciels que vous utilisez sur votre site Web, tel qu’un CMS ou un forum. Lorsque des failles de sécurité de sites Web sont trouvées dans des logiciels, les pirates informatiques sont prompts à tenter d’en abuser.
Si vous utilisez un logiciel tiers sur votre site Web tel qu’un CMS ou un forum, vous devez vous assurer d’appliquer rapidement les correctifs de sécurité. La plupart des fournisseurs ont une liste de diffusion ou un flux RSS détaillant les problèmes de sécurité de leur site Web. WordPress, Umbraco et beaucoup d’autres CMS vous informent des mises à jour système disponibles lorsque vous vous connectez.
2 Utiliser l’HTTPS
L’HTTPS est un protocole utilisé pour assurer la sécurité sur Internet. L’HTTPS empêche les attaques du type Man In the Middle où une entité tierce se place entre votre visiteur et votre site pour récupérer une copie des informations que vous envoient vos visiteurs (numéro de carte de crédit ou identifiants). Si vous avez possédez des informations confidentielles de la part de vos utilisateurs, il est fortement conseillé d’utiliser l’HTTPS.
l’HTTPS est aussi un bon point pour Google et donc pour votre référencement. Le moteur de recherche booste ainsi les classements des site Web qui utilisent l’HTTPS. De plus, HTTP est sur le point de disparaître… c’est maintenant le moment de le mettre à jour !
3 Vérifiez vos mots de passe
Tout le monde sait qu’il faut utiliser des mots de passe complexes, mais cela ne veut pas dire que nous le faisons toujours. Il est crucial d’utiliser des mots de passe forts pour votre serveur et la zone d’administration de votre site Web. Il est également important d’insister sur les bonnes pratiques en matière de mots de passe pour vos utilisateurs afin de protéger la sécurité de leurs comptes.
Les hackers usent de différentes méthodes pour tenter d’accéder à vos comptes et à ceux de vos utilisateurs. La façon la plus basique est de taper manuellement des lettres, des chiffres et des symboles pour deviner votre mot de passe. La méthode la plus avancée consiste à utiliser ce qu’on appelle une « attaque par force brute ». Dans cette technique, un programme informatique parcourt toutes les combinaisons possibles de lettres, de chiffres et de symboles le plus rapidement possible pour casser votre mot de passe. Plus votre mot de passe est long et complexe, plus ce processus est long. Les mots de passe de trois caractères prennent moins d’une seconde à être craqués.
Les mots de passe longs sont ainsi les meilleurs. Plus ils comprennent des mots ou des expressions sans sens particulier, mieux ils sont. Les combinaisons de lettres qui ne sont pas dans le dictionnaire, les expressions méconnues ou avec une mauvaise grammaire sont les plus difficiles à craquer. N’utilisez pas non plus de caractères séquentiels sur un clavier, tels que les chiffres dans l’ordre ou le « azerty » largement utilisé. Mélangez au hasard des symboles et des chiffres avec des lettres. Vous pouvez substituer un zéro à la lettre O ou @ à la lettre A, par exemple.
Utilisez des mots de passe uniques pour chaque compte. Lorsque les pirates informatiques effectuent des piratages à grande échelle, ils ont accès à des listes d’adresses électroniques et de leurs mots de passe. Si votre compte mail possède le même mot de passe que ceux d’autres sites, vos informations peuvent être alors facilement utilisées par les hackers.
Enfin, pensez à la double authentification. Deux mots de passes sécurisent mieux qu’un seul ! Pensez à installer Google Authenticator.
4 Méfiez-vous des messages d’erreur
Faites attention à la quantité d’informations que vous donnez dans vos messages d’erreur. Fournissez seulement un minimum d’erreurs à vos utilisateurs, pour vous assurer qu’ils ne divulguent pas les secrets présents sur votre serveur (par exemple, les clés API ou les mots de passe des bases de données). Ne fournissez pas non plus de détails complets sur les exceptions, car elles peuvent rendre les attaques complexes comme l’injection SQL . Conservez les erreurs détaillées dans les journaux de votre serveur et montrez aux utilisateurs uniquement les informations dont ils ont besoin.
5 Évitez les téléchargements de fichier
Permettre aux utilisateurs de télécharger des fichiers sur votre site Web peut représenter un grand risque pour la sécurité de votre site Web. Le risque est que n’importe quel fichier téléchargé, aussi innocent qu’il puisse paraître, puisse contenir un script qui, une fois exécuté sur votre serveur, ouvre complètement votre site Web.
Si vous autorisez les utilisateurs à télécharger des images, vous ne pouvez pas vous fier à l’extension de fichier ou au type mime pour vérifier que le fichier est une image car ceux-ci peuvent facilement être falsifiés. Même l’ouverture du fichier et la lecture de l’en-tête, ou l’utilisation de fonctions pour vérifier la taille de l’image ne sont pas infaillibles. La plupart des formats d’images permettent de stocker une section de commentaires qui pourrait contenir du code PHP qui pourrait être exécuté par le serveur.
6 Obtenir des outils de sécurité pour votre site Web
Une fois que vous pensez avoir fait tout ce que vous pouvez, il est temps de tester la sécurité de votre site Web. La façon la plus efficace d’y parvenir est d’utiliser certains outils de sécurité des sites Web. Il existe de nombreux produits gratuits pour vous aider à le faire. Ils fonctionnent sur une base similaire aux scripts des hackers en ce sens qu’ils testent tous les virus connus et tentent de compromettre votre site en utilisant certaines des méthodes telles que SQL Injection.
Quelques outils gratuits qui valent la peine d’être consultés : Netsparker, OpenVAS ou encore SecurityHeaders.io
Sur le même sujet :
Trouver les bons mots-clés pour améliorer le trafic de votre site Web
Le hacking, une histoire de révolutionnaires
Comment optimiser vos photographies et images sur votre site Web ?
Comment optimiser son site Web pour les appareils mobiles ?
Voir les commentaires
I would like to get THE DAILY and articles like this in English. Is that possible?
Hi,
Thank you for choosing PlanetHoster.
Yes, of course. We are planing to increase the number of English articles in the next weeks.
Have a wonderful holidays !
Hello Brett,
You can read this article in English on the English version of our blog : https://blog.planethoster.com/wp-admin/post.php?post=8928&action=edit&lang=en
Have nice day and holidays,
Victoria