06.78.67.95.71Lundi - Samedi 9h30 - 19h00
Sécurisez votre site web & E-commerce

Sécurisez votre site web & E-commerce

Avoir un site web est devenu plus facile que jamais en raison de la prolifération d’excellents outils et services dans l’espace de développement Web. Les systèmes de gestion de contenu (CMS) tels que WordPress, Joomla !, Drupal, Magento et d’autres permettent aux propriétaires d’entreprise de créer rapidement une présence en ligne.Les architectures hautement extensibles du CMS, ses riches plug-ins et ses modules efficaces ont réduit la nécessité de passer des années à apprendre le développement Web avant de commencer à créer un site Web.

La facilité de lancement d’une entreprise en ligne ou d’un site Web personnel est excellente. Cependant, il y a des effets secondaires négatifs. Nous voyons beaucoup de webmasters qui ne savent pas comment s’assurer que leur site web est sécurisé.

Aujourd’hui, voyons quelles sont les 10 principales étapes que tous les propriétaires de sites Web devraient suivre pour protéger leur site Web.

1 – Mise à jour, mise à jour, mise à jour!

De nombreux sites Web sont compromis chaque jour en raison de logiciels obsolètes et non sécurisés.

Il est extrêmement important de mettre à jour votre site dès qu’un nouveau plugin ou une nouvelle version du CMS est disponible. Ces mises à jour peuvent uniquement contenir des améliorations de sécurité ou corriger une vulnérabilité.

La plupart des attaques de sites Web sont automatisées. Les robots scrutent en permanence tous les sites possibles pour trouver des opportunités d’exploitation. Il ne suffit plus de mettre à jour une fois par mois, voire une fois par semaine, car les robots trouveront probablement une vulnérabilité avant de la corriger.

Si vous avez un site Web WordPress, je recommande personnellement le plug-in ‘ WP Updates Notifier ‘. Il vous envoie un e-mail pour vous informer de la disponibilité d’un plugin ou d’une mise à jour principale de WordPress.

2 – Mots de passe

Avez-vous déjà pensé à la manière dont les mots de passe que vous utilisez peuvent menacer la sécurité de votre site Web?

Afin de nettoyer les sites Web infectés, nous devons souvent nous connecter au site ou au serveur d’un client à l’aide de ses informations d’utilisateur admin. Il est choquant de voir à quel point les mots de passe root peuvent être in-sécurisés avec des identifiants tels que admin / admin.

Il existe de nombreuses listes de mots de passe violés en ligne. Les pirates les combinent avec les listes de mots du dictionnaire pour générer des listes encore plus vastes de mots de passe potentiels. Si les mots de passe que vous utilisez figurent sur l’une de ces listes, votre site ne sera compromis que très rapidement.

Nos conseils pour avoir un mot de passe fort sont les suivants:

  • Ne réutilisez pas vos mots de passe . Chaque mot de passe que vous avez doit être unique. Un gestionnaire de mot de passe peut faciliter cela.
  • Avoir de longs mots de passe . Essayez plus de 12 caractères. Plus le mot de passe est long, plus il faudra un programme informatique pour le déchiffrer.
  • Utilisez des mots de passe aléatoires . Les programmes qui craquent les mots de passe peuvent deviner des millions de mots de passe en quelques minutes s’ils contiennent des mots trouvés en ligne ou dans des dictionnaires. Si vous avez de vrais mots dans votre mot de passe, ce n’est pas aléatoire. Si vous prononcer facilement votre mot de passe, cela signifie qu’il n’est pas assez puissant.

3 – Un site = un conteneur



Nous comprenons qu’héberger de nombreux sites Web sur un seul serveur peut sembler idéal, surtout si vous avez un forfait d’hébergement Web «illimité». Malheureusement, il s’agit d’une des pires pratiques de sécurité que nous observons couramment. L’hébergement de nombreux sites au même endroit crée une très grande surface d’attaque.

Vous devez savoir que la contamination entre sites est très courante. C’est lorsqu’un site est affecté négativement par les sites voisins du même serveur en raison d’une mauvaise isolation sur la configuration du serveur ou du compte.

Par exemple, un serveur contenant un site peut avoir une seule installation WordPress avec un thème et 10 plugins potentiellement ciblés par un attaquant. Si vous hébergez 5 sites sur un seul serveur, un attaquant pourrait avoir trois installations WordPress, deux installations Joomla, cinq thèmes et 50 plug-ins pouvant constituer des cibles potentielles. Pour aggraver les choses, une fois qu’un attaquant a découvert un exploit sur un site, l’infection peut se propager facilement à d’autres sites sur le même serveur.

Cela peut non seulement entraîner le piratage simultané de tous vos sites, mais également rendre le processus de nettoyage beaucoup plus long et difficile. Les sites infectés peuvent continuer à se réinfecter, provoquant une boucle sans fin.

4 – Accès utilisateur

Cette règle ne s’applique qu’aux sites ayant plusieurs administrateur ou web-masters. Il est important que chaque utilisateur dispose de l’autorisation appropriée nécessaire pour effectuer son travail. Si des autorisations surélevées sont nécessaires momentanément, accordez-les. Puis réduisez-le une fois le travail terminé.

Par exemple, si quelqu’un veut écrire un article de blog invité pour vous, assurez-vous que son compte ne dispose pas des privilèges d’administrateur complets. Le compte de vos amis ne devrait pouvoir créer que de nouveaux messages et modifier leurs propres messages, car ils n’ont pas besoin de pouvoir modifier les paramètres du site Web.

Une fois que vous avez des comptes distincts pour chaque utilisateur, vous pouvez surveiller son comportement en consultant les journaux et en connaissant ses tendances habituelles, comme quand et comment il accède normalement au site Web. Ainsi, si un utilisateur se connecte à une heure indue ou à partir d’un emplacement suspect, vous pouvez enquêter.

Nous savons qu’il peut être difficile pour certains utilisateurs d’effectuer manuellement des journaux d’audit. Si vous avez un site Web WordPress, vous pouvez utiliser notre plugin de sécurité gratuit qui peut être téléchargé à partir du référentiel officiel WordPress.

5 – Modifiez les paramètres par défaut du CMS!

Les applications CMS actuelles (bien que faciles à utiliser) peuvent être délicates du point de vue de la sécurité. De loin, les attaques les plus courantes contre les sites Web sont entièrement automatisées. Bon nombre de ces attaques supposent que les utilisateurs ne disposent que de paramètres par défaut.

Cela signifie que vous pouvez éviter un grand nombre d’attaques en modifiant simplement les paramètres par défaut lors de l’installation de votre CMS choisi.

Vous pouvez modifier ces détails par défaut lors de l’installation de votre CMS ou plus tard, mais n’oubliez pas de le faire.

6 – Sélection de plugin

L’extensibilité des applications CMS est une chose que les webmasters adorent généralement, mais elle peut aussi poser l’une des plus grandes faiblesses. Il existe des plug-ins, des add-ons et des extensions qui fournissent pratiquement toutes les fonctionnalités que vous pouvez imaginer. Mais comment savoir lequel est sécuritaire à installer?

Voici ce que je recherche toujours lorsque je décide des extensions à utiliser:

  • Dernière mise à jour de l’extension : Si la dernière mise à jour date de plus d’un an, cela m’inquiète que l’auteur ait cessé de travailler dessus. Je préfère de loin utiliser des extensions en cours de développement, car cela indique que l’auteur serait au moins disposé à mettre en œuvre un correctif si des problèmes de sécurité sont découverts. En outre, si une extension n’est pas prise en charge par l’auteur, elle risque de ne plus fonctionner si les mises à jour principales génèrent des conflits.
  • L’âge de l’extension et le nombre d’installations : une extension développée par un auteur établi disposant de nombreuses installations est plus fiable que celle comportant quelques installations installées par un développeur débutant.Les développeurs expérimentés ont non seulement une meilleure idée des meilleures pratiques de sécurité, mais ils sont également beaucoup moins susceptibles de nuire à leur réputation en insérant un code malveillant dans leur extension.
  • Sources légitimes et fiables : téléchargez vos plugins, extensions et thèmes à partir de sources légitimes. Méfiez-vous des versions gratuites piratées et infectées par des logiciels malveillants. Certaines extensions ont pour seul objectif d’infecter autant de sites Web que possible avec des logiciels malveillants.

7 – Sauvegardes

Disposer de sauvegardes de sites Web est essentiel pour récupérer votre site Web après un incident de sécurité majeur. Bien que cela ne devrait pas être considéré comme un substitut à une solution de sécurité de site Web, une sauvegarde peut aider à récupérer des fichiers endommagés.

8 – Fichiers de configuration du serveur

Apprenez à connaître les fichiers de configuration de votre serveur Web:

  • Les serveurs Web Apache utilisent le fichier .htaccess ,
  • Les serveurs Nginx utilisent nginx.conf ,
  • Les serveurs Microsoft IIS utilisent web.config .

Le plus souvent dans le répertoire Web racine, les fichiers de configuration du serveur sont très puissants. Ils vous permettent d’exécuter des règles de serveur, y compris des directives qui améliorent la sécurité de votre site Web.

Si vous ne savez pas quel serveur Web utiliser, exécutez votre site Web via Sitecheck et cliquez sur l’onglet Détails du site Web.

Voici quelques règles que je vous recommande de rechercher et d’ajouter pour votre serveur Web particulier:

  • Empêcher la navigation dans les répertoires : cela empêche les utilisateurs malveillants de consulter le contenu de tous les répertoires du site Web. Limiter les informations disponibles aux attaquants constitue toujours une précaution de sécurité utile.
  • Empêcher les liens hypertextes entre les images : s’il ne s’agit pas d’une amélioration de la sécurité, il empêche les autres sites Web d’afficher les images hébergées sur votre serveur Web. Si des personnes démarrent la connexion à des images de votre serveur, l’allocation de bande passante prévue par votre plan d’hébergement risque d’être vite prise par l’affichage d’images pour le site de quelqu’un d’autre.
  • Protéger les fichiers sensibles : Vous pouvez définir des règles pour protéger certains fichiers et dossiers. Les fichiers de configuration CMS sont l’un des fichiers les plus sensibles stockés sur le serveur Web car ils contiennent les informations de connexion à la base de données en texte brut. D’autres emplacements, tels que les zones administratives, peuvent être verrouillés.Vous pouvez également restreindre l’exécution de PHP dans des répertoires contenant des images ou autoriser les téléchargements.

9 – Installer SSL

SSL est l’acronyme de Secure Sockets Layer . Il s’agit de la technologie de sécurité standard permettant d’établir un lien crypté entre un serveur Web et un navigateur.

J’avais hésité à inclure SSL comme astuce pour améliorer la sécurité de votre site Web, car il existe de nombreuses informations trompeuses suggérant que l’installation de SSL résoudra tous vos problèmes de sécurité.

Soyons clairs: SSL ne protège en aucun cas votre site contre les attaques malveillantes et ne l’empêche pas de diffuser des logiciels malveillants.

Le protocole SSL chiffre les communications entre les points A et B – à savoir le serveur de site Web et le navigateur du visiteur. Ce cryptage est important pour une raison spécifique. Cela empêche quiconque de pouvoir intercepter ce trafic, appelé attaque Man in the Middle (MITM). SSL est un excellent moyen de protéger les mots de passe et les informations de carte de crédit (ainsi que d’autres données sensibles).

10 – Autorisations de fichier

Les autorisations de fichier définissent qui peut faire quoi dans un fichier.

Chaque fichier dispose de 3 autorisations disponibles et chaque autorisation est représentée par un numéro:

  • ‘ Lire ‘ (4): Voir le contenu du fichier.
  • Ecrire ‘ (2): Change le contenu du fichier.
  • ‘ Executer ‘ (1): Exécutez le fichier de programme ou le script.

Si vous souhaitez autoriser plusieurs autorisations, additionnez simplement les numéros . Par exemple, pour autoriser Lire (4) et Ecrire (2), vous définissez l’autorisation d’utilisateur sur 6. Si vous souhaitez autoriser un utilisateur à lire (4), Ecrire (2). ) et Executer (1) vous définissez l’autorisation d’utilisateur à 7.

Il existe également 3 types d’utilisateurs:

  • Propriétaire – Généralement, le créateur du fichier, mais cela peut être modifié.Un seul utilisateur peut être le propriétaire.
  • Groupe – Chaque fichier se voit attribuer un groupe, et tout utilisateur faisant partie de ce groupe obtiendra ces autorisations.
  • Public – Tout le monde.

Lorsque vous affichez les autorisations de fichier, cela sera indiqué par 640 .

La plupart des installations de CMS ont toutes les autorisations correctement configurées par défaut. Alors pourquoi ai-je passé tellement de temps à expliquer le fonctionnement des autorisations? Lorsque vous recherchez des solutions aux erreurs d’autorisations, des personnes mal informées vous conseillent de modifier les autorisations de fichiers sur 666 ou les autorisations de dossier sur 777.

Ce conseil résout généralement les erreurs d’autorisations

Si vous définissez une autorisation de fichier sur 666 ou une autorisation de dossier sur 777, vous venez d’autoriser * n’importe qui * à insérer du code malveillant ou à supprimer vos fichiers!

Conclusion

Si vous suivez ces étapes relativement simples, vous augmenterez la sécurité de votre site Web. Bien que ces étapes ne suffisent pas à garantir que votre site ne soit jamais piraté, les suivre arrêtera la grande majorité des attaques automatisées.

Assurez-vous que votre site Web est correctement sécurisé. Comptez sur nous pour vous aider !

Fermer le menu