Votre site contient des pages que vous n’avez jamais créées, vous constatez des lenteurs, vos statistiques connaissent une hausse anormale du trafic ou encore votre site n’est plus accessible ?
Cela vous est peut-être déjà arrivé, cela vous arrive peut-être en ce moment ?
Votre site web est probablement tombé face à une attaque de pirates qui ont réussi à accéder à vos fichiers et/ou votre base de données.
Voici comment sécuriser son site web pour éviter cela à l’avenir.
Sommaire
Sécuriser son serveur web
Il y a des règles et des bonnes pratiques en matière de sécurité sur le web. Votre site étant hébergé sur un serveur web, celui-ci doit être sécurisé.
La plupart du temps, une partie de ces bonnes pratiques sont mises en place directement par votre hébergeur, sauf si vous utilisez un serveur dédié non managé.
D’autres sont à mettre en place par vous-même ou votre prestataire web afin de garantir la sécurité de votre serveur web et donc de votre site internet.
Mettre à jour régulièrement le système et les logiciels
Souvent à la charge de l’hébergeur.
Appliquer les mises à jour et correctifs de sécurité pour le système d’exploitation et toutes les applications.
Installer et configurer un pare-feu
Souvent à la charge de l’hébergeur.
Utiliser un pare-feu pour filtrer le trafic entrant et sortant et bloquer les accès non autorisés.
Utiliser des connexions sécurisées (HTTPS)
Souvent à la charge du client.
Installer un certificat SSL/TLS pour chiffrer les communications entre le serveur et les clients.
Configurer des règles de sécurité
La charge est souvent répartie entre le client et l’hébergeur.
Limiter les permissions des utilisateurs et des fichiers (client), désactiver les services et ports inutilisés (hébergeur et/ou client).
Utiliser des outils de détection d’intrusion (IDS/IPS) :
Souvent à la charge de l’hébergeur web.
Installer des systèmes de détection et de prévention des intrusions pour identifier et bloquer les attaques en temps réel.
Planifier des sauvegardes régulières du serveur
La plupart des hébergeurs web le proposent
Copier les fichiers et les bases de données de votre serveur pour les sauvegarder si possible dans un environnement externe à votre serveur en cas de défaillance de celui-ci.
Sécuriser son site web (partie logicielle)
La partie « logicielle » de votre site web doit aussi être sécurisée pour éviter de laisser des portes d’entrées aux pirates qui pourraient tenter des injections SQL, des attaques DDoS, et autres joyeusetés.
La responsabilité de cette partie vous incombe et votre hébergeur ne pourra pas toujours vous aider en cas de problème.
Tout dépend évidemment de votre environnement de travail. Selon le CMS que vous utilisez ou si votre site a été développé sans CMS, les opérations à effectuer pour sécuriser son site web sont très variées.
Voici cependant les grands principes. Je ferais peut-être des articles dédiés à WordPress et à Drupal dès que j’aurais un peu de temps à y consacrer. Dites-moi en commentaire si vous êtes intéressés.
Utiliser des mots de passe sécurisés
Le mot de passe de l’administrateur est probablement une des premières failles exploitée par les pirates.
En trouvant votre identifiant, souvent facile à trouver, et en testant des milliers de mots de passe, un pirate aguerri, sur un site web non sécurisé, peut trouver la bonne combinaison en quelques minutes à quelques heures seulement.
Certains pourront aussi fouiller sur le net pour trouver des informations sur vous afin de générer des combinaisons de mots et chiffres en rapport avec votre date de naissance, votre nom, votre animal de compagnie, etc.
Plus le mot de passe est long et contient des caractères variés et plus il est compliqué à trouver. L’idéal étant un mot de passe généré aléatoirement par un gestionnaire de mots de passe ou un service en ligne :
Un mauvais mot de passe c’est :
- 25111985 (date de naissance)
- Prenom2016 (prénom d’enfant + année de naissance, marche aussi avec les animaux de compagnie)
- azertyuiop (facile à retenir mais aussi à trouver…)
- motdepasse ou password (on ne rigole pas il est dans le top 10 des pires mots de passe utilisés)
Plus d’infos ici : https://nordpass.com/fr/most-common-passwords-list/
Un bon mot de passe c’est :
- Qv\oHo:vsb6am6sg (généré par mon gestionnaire de mots de passe)
- Jem’apRiBe,jesunéenno1985. (“Je m’appelle Richard Besson, je suis né en novembre 1985.” en ne conservant que les 2 premières lettres de chaque mot, les majuscules et les ponctuations. Ça permet de ne pas oublier trop facilement son mot de passe)
- Un mot de passe différent pour CHAQUE service !
Plus d’infos ici : https://www.economie.gouv.fr/particuliers/creer-mot-passe-securise
Éviter de partager ses accès
Évidemment pour sécuriser son site web, il va de soi de NE JAMAIS PARTAGER SES ACCÈS à qui que ce soit !
Si quelqu’un doit intervenir sur le site ?
Il convient de lui créer un compte avec le rôle qui convient à ce qu’il doit pouvoir faire (auteur, éditeur, etc.) pour éviter d’avoir trop d’administrateurs et donc autant de failles possibles en cas de mot de passe faible et/ou déjà piraté ailleurs.
Dans l’idéal c’est la même chose pour les accès au serveur, à la base de données et à la console d’admin de l’hébergeur.
Dans les faits, ce n’est malheureusement pas toujours possible, car certains hébergeurs web ne proposent pas de pouvoir créer un second compte SSH par exemple pour pouvoir accéder au serveur via une interface en lignes de commandes.
Protéger ses formulaires
Que ce soit les formulaires de contact, devis ou encore de commentaires, si ceux-ci ne sont pas protégés, vous risquez d’avoir des surprises.
J’ai eu le cas d’un client, dont le site WordPress était complètement bloqué, il ne pouvait plus s’y connecter, ni faire quoi que ce soit dessus.
La raison était que son formulaire de commentaires n’était pas protégé, les robots spammeurs avaient laissé tellement de commentaires indésirables que la base de données était saturée, ce qui empêchait tout ajout de données dans la base.
Il a fallut supprimer en masse des centaines de milliers de commentaires pour pouvoir dépanner le site WordPress.
Il existe plusieurs types de protection des formulaires web comme par exemple :
- La technique du pot de miel, qui consiste à ajouter un champs dissimulé pour les humains, mais que les robots vont remplir.
- Les captchas, qui permettent de vérifier que l’utilisateur est un humain, mais qui se révèlent souvent trop contraignants pour l’utilisateur.
- Le filtrage des entrées, qui vise à supprimer tous les caractères qui pourraient être problématiques une fois dans la base de données.
Utiliser un pare-feu dans votre site web
Il existe des solutions pour limiter l’accès à votre site web, le protéger contre les attaques DDoS, les injections SQL et autres menaces qui pourraient lui nuire.
Cloudflare WAF : Une solution populaire qui protège contre les attaques DDoS, les injections SQL, et d’autres menaces avec une approche basée sur le cloud.
AWS WAF (Amazon Web Services) : Proposé par Amazon, il permet de protéger les applications web hébergées sur AWS contre diverses attaques avec des règles personnalisables.
Imperva WAF : Une solution complète offrant une protection contre les attaques complexes avec une gestion basée sur le cloud ou sur site.
Akamai Kona Site Defender : Un pare-feu pour applications web qui inclut une protection contre les DDoS et les menaces avancées, avec une infrastructure mondiale.
Sucuri Website Firewall : Conçu pour protéger les sites contre les malwares, les attaques par force brute, et les injections SQL. Il est souvent utilisé pour les sites WordPress.
Cette liste n’est pas exhaustive, mais cet article n’a pas vocation à recenser toutes les solutions de pare-feu pour site web.
Un préfixe à vos tables de base de données
Une astuce toute bête pour protéger votre base de données quand vous utilisez un outil comme WordPress, Drupal ou Joomla, par exemple, est d’utiliser un préfixe pour nommer les tables de votre base de données.
Par exemple, sous WordPress, le préfixe par défaut est « wp_ », ce qui donne des noms de tables de ce genre « wp_users », « wp_posts », etc.
En changeant le préfixe, nous pouvons avoir « gjelkn_users », « gjelkn_posts », etc. ce qui compliquera la tâche des pirates lorsqu’ils tenteront, une fois avoir accédé à votre base de données, d’insérer ou de supprimer des données dans celle-ci.
Maintenir votre site web à jour
Enfin, une règle essentielle parmi les règles pour sécuriser son site web, est de maintenir son site web à jour pour éviter que les failles de sécurité, que ce soit du CMS et des extensions et même des versions de PHP et du gestionnaire de base de données que vous utilisez, ne soient exploitées par des personnes mal-intentionnées.
Les failles de sécurité découvertes sont comblées avec des mises à jour par les développeurs, si vous n’appliquez pas ces mises à jour, votre site web est par conséquent toujours impacté et vulnérable à ces failles.
Je gère la maintenance pour vous !
Votre site web doit impérativement rester en sécurité et opérationnel, c’est pourquoi je vous propose d’en assurer la maintenance et la sécurité afin que vous n’ayez plus à vous en soucier.
WordPress : Remise à niveau et plugins premiums offerts !
J’ai abordé dans cet article les principales techniques pour sécuriser son site internet et garantir qu’il ne soit pas piraté ou en tous cas de compliquer sérieusement la tâche aux pirates qui souhaiteraient nuire à votre site web.
Évidemment, il existe d’autres techniques, d’autres méthodes, mais je peux vous garantir qu’en appliquant celles-ci, votre site devrait être très difficile à pirater.
Dans tous les cas, j’espère que ces conseils vous auront été utiles et n’hésitez pas à me poser vos questions dans les commentaires ou à me contacter pour que je puisse dépanner et mettre en sécurité votre site web.
0 commentaires