Sécuriser son site internet
Quelle que soit votre activité, les menaces et les attaques sur les sites web augmentent considérablement. Les pirates ne s’intéressent pas seulement à un site internet pour voler des données ou pour le corrompre, mais également pour l’utiliser dans d’autres buts malveillants. Ils utilisent le serveur du site Web pour envoyer en masse des courriers indésirables, distribuer des fichiers illégaux, etc…
Voici nos 8 étapes pour sécuriser son site internet.
1- Utiliser le protocole HTTPS
Les sites web utilisant le protocole standard non sécurisé HTTP « protocole de transfert hypertexte » , pour le transfert de données entre le serveur et le navigateur du client, sont susceptibles de se faire intercepter les données pour être utilisées de façon malveillante.
Le protocole sécurisé https « protocole de transfert hypertexte sécurisé » permet des échanges d’informations via votre site web de manière sécurisé empêchant les pirates d’accéder aux informations. Il s’agit d’un des premiers point de vérification pour votre site web.
2- Les mots de passe
Les mots de passe sont la première protection d’un site internet. Il est donc préférable d’utiliser des mots de passe toujours plus complexes, incluant des lettres minuscules, majuscules, chiffres, et caractères spéciaux pour tous vos comptes et en priorité pour le compte administrateur de votre site. Il faut absolument bannir les mots de passe simples tel que le nom de votre enfant, le nom de votre animal de compagnie ou votre date d’anniversaire.
3– Gérer les comptes utilisateurs
Chaque utilisateur doit avoir des droits spécifiques et restreints à un dossier personnel. Assurez-vous également que tous ceux qui ont accès à votre site web utilisent un mot de passe sécurisé et impossible à deviner. Un mot de passe faible défini par un utilisateur pourrait mettre en danger l’ensemble de votre site Internet et tous les comptes visiteurs.
4- Plugin de sécurité
En fonction de votre système de gestion de contenu (CMS), il est primordial d’utiliser des plugins de sécurité pour lui garantir une sécurité maximale. Il existe de nombreux plugins de sécurité, gratuits ou payants, pour garder votre site sécurisé et ainsi réduire les risques de piratage.
5- Vérifier les logs
Les logs contiennent beaucoup d’informations sur les problèmes et accès infructueux. En cas d’attaques ou d’incident, les logs sont votre unique moyen de porter votre investigation. Assurez-vous de les avoir activés et de savoir comment y accéder.
Il existe aussi des utilitaires comme Fail2Ban pour les scanner et bannir automatiquement les attaquants potentiels ou vérifier les logs manuellement.
6- Effectuer des mises à jours régulières et des sauvegardes
Des failles de sécurité sont découvertes tous les jours, il est important et indispensable de faire des mises à jour dès que possible. Cela peut sembler assez évident, mais pour sécuriser son site internet c’est l’une des étapes les plus fondamentales et les plus importantes.
Pour sécuriser votre site, il est vivement recommandé de mettre à jour vos plugin, scripts et plateformes (CMS).
Attention cependant, avant toutes mises à jour importantes, il est fortement conseillé de faire une sauvegarde. En cas de problème il est toujours plus agréable de se remettre sur pied en deux clics que de repartir de zéro. Sauvegardez donc régulièrement vos fichiers, vos informations utiles, vos bases de données, etc…
Voir une liste des logiciels spécialisés dans la sauvegarde (en anglais) : https://en.wikipedia.org/wiki/List_of_backup_software
7- Rester vigilant, faîtes confiance qu’à vous même
La plupart des piratages réussissent à vous duper grâce à un simple manque de vigilance. Voici quelques conseils conseil simple à retenir :
• Ne donnez jamais vos informations personnelles telles que mot de passe et identifiants à un tiers, que ce soit par mail ou par téléphone, même si cette personne prétend appartenir à une société de confiance. Il s’agit d’une tentative pure et simple de phishing.
• Ne cliquez jamais sur les liens suspects ainsi que sur les pièces jointes avec des extensions bizarres comme .pif, .exe, .bat, etc., même si ceux si semblent venir de votre fournisseur.
• Activez antivirus, scanners et pare-feu ainsi que des Plugins de sécurité.
8- Analyser votre niveau de sécurité périodiquement
Après avoir appliqué toutes les mesures de sécurité énoncées ci-dessus, il est temps de vérifier la sécurité de votre site Web. Rien de mieux que de faire appel à un expert Intuity pour faire un état des lieux de votre site web et pour vous donner tous les conseils adéquats pour améliorer le niveau de sécurité et les réflexes à adopter au sein de votre société .
Consultez nos offres pour sécuriser son site internet : Offre pentest
Author
Antoine Labbe
Antoine, CTO d'Intuity, spécialisé dans les tests d'intrusion (certifié OSCP) intervient régulièrement pour assurer la sécurité de grands groupes en tant qu'expert cybersécurité.