9 Conseils pour Protéger votre Site Web contre le Piratage

Article mis à jour le

Le Web n’est pas seulement une question de business et de gros sous. Des milliards de pages et d’articles de blog sont écrits chaque jour, chaque secondes, par de petits propriétaires de sites Web et des blogueurs qui cherchent à partager leurs points de vue avec le monde. C’est le charme du Web : il offre un espace pour tout le monde, et pour tous les types de projet.

Mais Internet est aussi une jungle sauvage : il recèle de nombreux dangers et personne n’est réellement à l’abri d’un piratage, une attaque DDOS ou d’un virus. Si vous dirigez une petite entreprise sur Internet, vous savez à quel point la sécurité de votre site web et de vos transactions en ligne est primordiale.

C’est un aspect vraiment crucial à prendre en considération lorsque vous planifiez votre site Web : comment puis-je sécuriser mon contenu et mon travail contre les menaces externes ? Comment puis-je offrir la meilleure expérience utilisateur possible ? Ce sont des questions que vous devriez vous poser chaque fois que vous mettez à jour votre site Web.

Pourquoi cet Article et pourquoi 9 conseils ?

Sécuriser un site n’est pas forcément à la portée de tout le monde, mais cela ne signifie pas qu’il faille impérativement être programmeur ou informaticien pour y arriver.

Nous avons donc listé 9 conseils qui sont à la fois faciles à appliquer et suffisamment détaillés pour éveiller votre curiosité sur les questions de sécurité, afin que vous deveniez, lentement mais sûrement, votre propre expert en sécurité Web.

Tous les conseils sont spécifiques au piratage et nous allons également vous présenter les techniques que vous pouvez utiliser pour tester votre site Web afin de détecter les failles de sécurité. Ne vous inquiétez pas : rien de trop difficile à faire, mais il est important que vous vous familiarisiez avec les outils et techniques simples qui peuvent bloquer ou repousser les attaques, pour le bien de vos projets.

Amusez-vous bien !

Conseil n° 1 : utilisez des mots de passe complexes

La première faille de sécurité Web est l’utilisation du même mot de passe sur un grand nombre de sites ou de services Web. Un hacker qui aura trouvé un seul mot de passe aura ainsi facilement accès à toutes vos données, qu’il s’agisse de votre blog ou de votre compte PayPal. Conserver une liste de vos mots de passe sur papier ou dans un dossier n’est pas non plus une solution sûre, car quelqu’un qui pirate votre ordinateur aura facilement accès à votre base de données.

Mais que faire si vous n’arrivez pas à trouver un mot de passe convenable ?

  1. Utilisez un générateur de mots de passe fort pour obtenir un mot de passe difficile à déchiffrer, incluant des caractères alphanumériques et des symboles spéciaux. Plus les symboles sont aléatoires ou pseudo-aléatoires (c’est-à-dire qu’ils ne sont pas reliés les uns aux autres et que tous les symboles ont des chances égales de se succéder), plus le mot de passe est sûr.
  1. Utilisez un gestionnaire de mots de passes comme Dashlane, LastPass, Password Safe (Windows seulement) ou Password Gorilla pour enregistrer et crypter tous vos mots de passe, que vous pouvez déverrouiller grâce à un Master Password, un mot de passe pour les contrôler tous.

Conseil n° 2 : Faites attention à vos scripts et plugins

Il est bien connu que les scripts de sites Web et les plates-formes CMS sont les principaux véhicules des attaques de piratage. Si vous hébergez des scripts écrits en PHP, ASP et JavaScript, sachez qu’ils peuvent avoir des failles de sécurité et des bugs que leurs développeurs pourraient avoir négligés. En plus de contacter le développeur immédiatement après la découverte de l’un des problèmes mentionnés ci-dessus, il existe des méthodes non techniques que vous pouvez utiliser pour vous assurer que vos scripts ne vous créeront pas de soucis sur le long terme :

  • Lisez attentivement le document de version de votre script : il contient souvent des détails sur les correctifs et les corrections de bugs.
  • Surveillez les avertissements de votre installateur de logiciel, de votre panneau de contrôle ou même de Google Webmaster Tools: si vous avez besoin de mettre à jour ou de modifier/supprimer un fichier, faites-le.
  • N’installez pas n’importe quel plug-in : vérifiez d’abord les compatibilités et les notes de sécurité.

De plus, et c’est peut-être le facteur le plus important, gardez toujours vos scripts et CMS à jour. Le dernier pack d’un logiciel contient généralement des correctifs pour les bugs et les problèmes de sécurité de la version précédente. Pensez à faire une sauvegarde de vos données avant toute mise à jour !

Conseil n° 3 : effectuez des contrôles réguliers des dossiers et du panneau de contrôle

Parfois, les hackers s’immiscent dans votre site sournoisement, et peuvent engendrer de gros dégats derrière eux : spoofing, fichiers médias contenant des virus, exécutables et pages Web recodées, etc.

Vérifiez vos dossiers régulièrement, au moins une fois toutes les deux semaines, pour vous assurer que vos fichiers ne présentent aucun problème. Si vous repérez des fichiers que vous ne reconnaissez pas, supprimez-les immédiatement. Si cela ne fonctionne pas, contactez votre hébergeur et obtenez de l’aide (c’est à ce moment que vous avez le plus besoin d’un bon hébergeur Web). Dans de tels cas :

  • Changer le mot de passe de votre panneau d’administration (et le nom d’utilisateur, si possible)
  • Effectuez une vérification de tous les fichiers pour voir s’ils ont été endommagés.
  • Si vous avez un antivirus installé, exécutez-le.
  • Conseil n° 4 : authentification sécurisée

    Les experts en sécurité Web utilisent de nombreuses méthodes pour assurer une sécurité optimale des systèmes et des transactions Web sur lesquelles ils travaillent : cryptographie à clé publique, chaînes de confiance, signatures, SSL et TSL (Transport Layer Security). S’il est important que vous vous familiarisiez avec la cryptographie, vous devriez d’abord commencer par apprendre à utiliser des outils d’authentification multifactorielle simples préparés pour vous par des experts :

    Pourquoi avez-vous besoin d’une authentification multifactorielle ? Parce qu’il faudra connaître votre nom d’utilisateur, votre mot de passe ET votre code d’utilisation pour accéder à votre contenu ; sinon, l’accès vous sera refusé. Celui-ci peut être envoyé sur votre téléphone de sorte que personne d'autres que vous ne puissiez accéder au site.

    Si vous le pouvez, trouvez un expert pour vous donner des cours particuliers à mesure que vous développez vos connaissances en matière de sécurité Web, ou utilisez des tutoriels et des cours en ligne.

    Conseil n° 5 : méfiez-vous des attaques DDoS

    Les attaques par déni de service distribuées (DDoS, Distributed Denial of Service) évoluent rapidement et sont dangereuses, de même que le piratage de serveurs et le remplacement de vos services par des services frauduleux.

    Une attaque DDoS sur un serveur engendrera un dysfonctionnement de ses principaux services, et le système entier ne sera plus disponible pour les utilisateurs finaux.

    Qu’est-ce qui peut causer une attaque DDoS 

  • Une configuration réseau ouverte
  • Applications avec des bugs et non mises à jour
  • Configuration de serveur non sécurisée
  • Pas de maintenance et/ou de surveillance de l’activité du réseau
  • Informez votre FAI et votre hébergeur de cette forme d’attaque. Ce dernier peut configurer chaque serveur avec une liste d’adresses DNS alternatives, de sorte que lorsque le DNS par défaut devient indisponible, l’ensemble du site fonctionne toujours.

    Un hacker ne peut parvenir à ses fins que lorsqu’il arrive à bloquer TOUS les serveurs de la liste . Une autre contre-mesure peut être le filtrage de tous les paquets entrants avec des délais inhabituels et/ou des adresses IP à haut risque. Votre hébergeur doit être au courant des attaques par déni de service, alors discutez avec lui de la prévention des DDoS.

    Conseil n° 6 : accès FTP sécurisé avec SFTP

    Rien ne change pour vous, cela fonctionne comme un FTP normal, mais SFTP, ou Secure FTP, offre de nombreux avantages en termes de sécurité :

    • Il utilise SSH pour crypter les données et les commandes pendant le transfert de fichiers.
    • Il utilise les clés publiques du serveur du client pour valider le serveur lors de la connexion, afin de s’assurer qu’il ne s’agit pas d’un intermédiaire.
    • Il est impossible pour un pirate de surveiller votre trafic réseau.

    Le problème avec la commande FTP habituelle est qu’elle n’est pas cryptée : tous les téléchargements vers et depuis le serveur sont transmis sous forme de données claires.

    Pour accéder à FTP via la ligne de commande (si vous utilisez Unix/Linux/Mac OS) vous pouvez utiliser sftp username@host ou téléchargez simplement un programme FTP gratuit qui supporte SFTP, tel que FileZilla (open source).

    Conseil n° 7 : en savoir plus sur l’injection SQL pour s’en protéger

    Méfiez-vous de cette méthode de piratage, maintenez vos scripts à jour et contactez immédiatement le développeur de script si vous rencontrez une faille de sécurité. Voici comment effectuer un test simple :

    • Entrez le code SQL suivant dans votre formulaire Web (nom d’utilisateur et mot de passe) :
                     ' OR 't’='t’ ; --
                     qui devient, au niveau SQL :
                     SELECT * FROM users WHERE userid=’admin’ AND password= "". OR " t’='t’ ; -- "
    • Renvoie-t-il le contenu de votre base de données ?

    Le code pourrait fonctionner (on utilise le conditionnel car avec un peu de chance vous avez installé un script très sûr), puisque t’='t’ est une instruction mathématiquement vraie, donc la requête SQL sera toujours exécutée.

    Un hacker averti peut construire des instructions SQL très élaborées pour atteindre ses objectifs, alors assurez-vous de contacter le développeur de script et d’obtenir de l’aide si le script que vous utilisez est facilement attaquable. Ou changer de script.

    Conseil n°8 : vérifiez régulièrement les journaux de votre panneau d’administration

    Votre panneau d’administration (cPanel, Plesk, etc.) est fourni avec des outils intégrés pour l’analyse du trafic, l’accès et les journaux de sécurité que vous devez surveiller au moins une fois par semaine.

    Si vous utilisez cPanel, nous vous recommandons de vérifier votre outil Analog Stats tous les deux jours, car il affiche un rapport détaillé avec :

    • Les requêtes HTTP
    • Les rapports mensuels, quotidiens et horaires sur l’activité du trafic
    • Les référents, navigateurs et systèmes d’exploitation d’où provient votre trafic

    Les outils de journaux sont les premiers que vous devriez consulter lorsque vous pensez que votre site Web a été attaqué.

    Conseil n°9 : effectuez des sauvegardes régulières

    Sauvegardez vos fichiers le plus souvent possible. Avec des plug-ins comme Updraft Plus et BackupBuddy, vous pouvez définir les intervalles auxquels vos backups seront effectués. 

    Ce qui compte, c’est que vous téléchargiez constamment de nouvelles copies de votre contenu, prêtes à être restaurées si un problème arrive en cours de route. 

    Cet article vous a montré quel type d’attaques votre site Web pourrait subir, et comment les combattre et les prévenir, mais votre arme la plus puissante est vraiment celle-ci : les sauvegardes. C’est le seul moyen de restorer votre site à son état d’origine, comme si le piratage n’avait pas existé.

    Bonus Conseil n°10 : changez votre url de connexion

    Si vous utilisez WordPress comme CMS, il est possible de changer facilement l'url de connexion de votre panneau d'administration pour ne plus utiliser /wp-admin.

    Via des plugins comme Ithemes Security ou l'excellent WPS Hide Login de WPServeur, vous pourrez faire ce changement en quelques clics seulement !

    Résumé

    Pour terminer, voici ce qu’il vous reste a faire pour être au point niveau sécurité de votre site Web :

    1. Apprendre : le savoir, c’est le pouvoir ! Approfondissez vos connaissances en matière de sécurité et cryptographie, attaques DDoS, injection SQL, les scripts intersites (XSS) et d’autres types d’attaques. Tout ce qui peut vous aider à avoir une vision complète de ce qui se passe lorsque votre site est piraté. Plus vous en savez, plus vous aurez de moyens pour contre-attaquer.
    2. Tenez-vous au courant : avec des découvertes, des outils et des mises à jour de scripts. Cet article a souligné l’importance de la mise à jour et de la mise à niveau de votre logiciel de site pour assurer une protection plus solide contre les attaques.
    3. Effectuez des vérifications et des sauvegardes régulières : si vous sauvegardez régulièrement, vous pourrez restaurer !
    4. Rapport : Lorsque les choses échappent à votre contrôle, signalez les problèmes aux développeurs de scripts et à votre hébergeur. Ils sont là pour vous aider, alors faites appel à leurs services un conseil !

    Conseils de sécurité des informaticiens

    Le génie logiciel est un domaine intéressant que tout bon ingénieur et informaticien doit apprendre à appliquer lorsqu’il développe un logiciel. Mais saviez-vous que cela marche aussi dans l’autre sens ? Vous, l’utilisateur, pouvez utiliser les concepts du génie logiciel pour faire des choix intelligents parmi les logiciels de site qui vous sont offerts par les développeurs. Vous pouvez :

    1. Comprendre qu’un bug peut entraîner un piratage grave de vos systèmes et une perte de données.
    2. Découvrir les 4 dimensions de la fiabilité et les utilisez à votre avantage : disponibilité, fiabilité, sûreté et sécurité.
    3. Identifier tous vos problèmes de sécurité possibles : perte de données sensibles/importantes, défaillance de certains services, coûts de reconstruction élevés (temps, argent).

    Les question à se poser avant d’installer et d’utiliser un script

    Fiabilité : Puis-je faire confiance à ce logiciel ?

  • Disponibilité : Le script est-il facilement accessible pour moi ? Son développeur est-il joignable pour obtenir de l’aide ?
  • Fiabilité : Le script fonctionne-t-il bien ? A-t-il des bugs ou me pose-t-il des problèmes lorsque j’effectue des actions pertinentes par rapport à mes objectifs ?
  • Sûreté : Les dysfonctionnements et les bugs affectent-ils sérieusement la sécurité et les performances ?
  • Sécurité : Le logiciel comporte-t-il un module de sécurité intégré ? Est-ce quelque chose que je peux gérer ?
  • Réparabilité : Si quelque chose tourne mal, est-ce que je pourrai y remédier ?
  • Maintenabilité : Suis-je capable de maintenir ce logiciel tout seul ?
  • Survie : Le logiciel fonctionnera-t-il toujours sous attaque ? Puis-je bien me remettre de l’attaque ?
  • Les vulnérabilités

    • Logiciel : bugs, transmission transparente des données, erreurs et journaux publics.
    • Humain : mots de passe faible, répertoires non protégés, divulgation de données sensibles, manque de maintenance et de mise à jour/mise à niveau du système.
    Approfondir sur ce sujet :
    Nous serions ravis de connaître votre avis

    Laisser un commentaire