Comment securer votre site

Comment sécuriser un site Web ?

25 Août, 2020  - écrit par  dans Sécurité

Bâtir une confiance avec les visiteurs de votre site Web est essentielle, et sécuriser celui-ci est indispensable pour gagner cette confiance.
En ligne, la confiance est primordiale. Les nouveaux utilisateurs de votre site Web, ainsi que les visiteurs réguliers et de longue date, veulent savoir qu’ils peuvent vous faire confiance. Si vous vendez des produits ou des services, ils veulent être certains de pouvoir vous faire confiance en vous confiant leur numéro de carte de crédit et leur adresse. Même si vous ne faites que leur fournir des informations, ils doivent savoir que la visite de votre site ne va pas infecter leur machine avec un virus informatique.
Un élément essentiel pour établir cette confiance est donc d’avoir un site Web sécurisé. Si vous gérez un site Web qui n’est pas bien sécurisé, ou si vous en créez un nouveau, vous ne savez peut-être pas tout ce qu’il faut savoir pour assurer la sécurité de celui-ci. Mais nous sommes là pour vous aider.

SSL

Autrefois, vous aviez autant de chances de tomber sur un site Web en HTTP qu’en HTTPS… Mais de nos jours, il n’est presque plus possible de ne pas avoir de HTTPS sur votre site Web.
Un certificat SSL, ou TLS, vous permet d’activer ce fameux protocole HTTPS pour votre site Web. Et il ne s’agit pas seulement d’avoir l’air sûr. Non seulement l’activation du HTTPS sur votre site Web garantit que les informations fournies par les visiteurs de votre site vous sont envoyées sans être interceptées par des tiers, mais elle signifie également que si vous devez vous connecter à l’administration de votre site (par exemple pour publier du contenu sur votre CMS), votre nom d’utilisateur et votre mot de passe ne peuvent pas non plus être volés.

Acheter un certificat SSL

Mots de passe et permissions

Pour assurer la sécurité de votre site Web, il est également essentiel de disposer d’une politique de mots de passe rigoureuse et de définir les bonnes autorisations pour le Backend de votre site.
Une politique de mots de passe stricte ne signifie pas que le mot de passe doit être changé tous les 90 jours, mais il doit comporter au moins huit caractères, si ce n’est plus.
Cela signifie également que lorsque vous configurez votre site, vous devez changer les mots de passe par défaut pour l’accès à votre site ainsi qu’à votre base de données.
Si vous pouvez limiter le nombre de tentatives de connexion autorisées, vous pouvez également prévenir les attaques par force brute, où un attaquant essaie tous les mots de passe possibles en succession rapide (via des scripts).
Pour un niveau de sécurité supplémentaire, vous pouvez protéger par mot de passe toutes les pages d’administration et de connexion au niveau du serveur. De cette façon, un attaquant ne peut même pas accéder à la page de connexion pour tenter d’attaquer votre site par force brute (grâce au .htaccess par exemple).
Si plusieurs personnes modifient votre site, vous devez vous assurer que les autorisations que vous leur donnez sont adéquates pour le travail qu’elles auront à produire, et pas excessives. Lorsque quelqu’un quitte le projet, veillez à lui retirer ses autorisations afin qu’il ne puisse pas se connecter après son départ.

Garder les logiciels à jour

Aucun logiciel n’est parfait et les attaquants cherchent constamment de nouveaux moyens de pirater les logiciels utilisés pour gérer les sites Web. Surtout si vous utilisez un CMS populaire comme WordPress : il est essentiel que vous gardiez votre logiciel à jour. Et si nous parlons de WordPress, cela signifie aussi que vous devez maintenir vos plugins à jour.
Cela ne signifie pas seulement qu’il faut s’assurer de mettre à jour les plugins et les thèmes au fur et à mesure qu’ils sont disponibles, mais aussi que vous utilisez uniquement des plugins et des thèmes qui sont activement maintenus et mis à jour par leurs développeurs (et trouvés sur des sites de confiance).

Modérer les commentaires activement

Les commentaires sur vos messages sont un excellent moyen de susciter l’intérêt de votre public, mais ils peuvent aussi attirer les spams et les robots.
Certains d’entre eux peuvent inciter les visiteurs de votre site à suivre un lien qui mène à un site frauduleux ou malveillant. Parfois, les commentaires peuvent également être utilisés pour injecter du code dans votre site Web.
Un bon moyen d’éviter ces pièges potentiels est d’exiger que tous les commentaires soient acceptés manuellement sur votre site Web (modérés à posteriori).
Au minimum, vous devriez utiliser un CAPTCHA sur tout type d’envoi de formulaire pour empêcher les robots de spam de publier sur vos pages.

Installer les plugins liés à la sécurité

Si vous utilisez un CMS comme WordPress qui utilise des plugins et des modules complémentaires, vous pouvez souvent trouver de bons plugins liés à la sécurité qui peuvent vous aider à garder votre site encore plus sûr.
Par exemple, les plug-ins peuvent vous permettre d’activer l’authentification à deux facteurs (2FA) lors des connexions, de rechercher des vulnérabilités sur votre site ou de déconnecter automatiquement les utilisateurs des sessions inactives.

Verrouiller les répertoires

La navigation dans les répertoires permet à quiconque de parcourir la structure des fichiers de votre site Web, ce qui peut parfois révéler des informations sur les fichiers vulnérables de votre site Web, ou pourrait être utilisé pour glaner des informations sur la structure des répertoires de votre site.
Heureusement, vous pouvez désactiver cette fonction dans le fichier .htaccess d’un répertoire. Vous pouvez modifier votre fichier .htaccess via sFTP et ajouter ce qui suit à la fin du fichier pour éviter l’indexation :
Options -Indexes
De même, certains répertoires peuvent être verrouillés davantage en empêchant le code d’y être exécuté. Vous devez savoir quels répertoires ne nécessitent pas l’exécution de code. Par exemple, si vous utilisez WordPress, vous pouvez désactiver l’exécution de PHP dans vos répertoires /wp-includes/ et /wp-content/uploads/.
Vous pouvez le faire en ajoutant ce qui suit aux fichiers .htaccess dans ces répertoires :
<Files *.php>
Require all denied
</Files>
Enfin, vous pouvez sécuriser les autorisations de fichiers et de dossiers. Les options de réglages seront différentes selon la façon dont vous affichez vos fichiers et dossiers, mais les autorisations se résument à une combinaison de : lecture, écriture, exécution.
Le plus simple est de trouver l’endroit où vous pouvez entrer vos autorisations sous forme de valeur numérique et d’utiliser 644 pour les fichiers et 755 pour les répertoires. 644 signifie que le propriétaire du fichier a les permissions de lire et d’écrire dans ce fichier, et que les autres utilisateurs du système n’ont qu’un accès en lecture. 755 signifie un accès en lecture et en exécution pour tout le monde et un accès en lecture, écriture et exécution pour le propriétaire.
Habituellement, un CMS aura également des instructions spécifiques pour la façon dont vous pouvez « durcir » votre installation, comme celle fournie par WordPress. Pour des conseils spécifiques au CMS que vous utilisez, voici de bons conseils à lire (en anglais). https://wordpress.org/support/article/hardening-wordpress/.

Faire des sauvegardes

Si un malheur arrive à votre site Web, que ce soit par malveillance ou par accident, il est essentiel de disposer d’une sauvegarde récente pour pouvoir redémarrer.
Rappelez-vous la règle du 3-2-1 sur les sauvegardes : trois sauvegardes, deux supports, une hors site. Cela signifie que vous devez faire trois copies des sauvegardes, qu’elles doivent être stockées de deux manières différentes et que l’une d’entre elles doit être conservée sur un serveur différent de votre site.

Comment sauvegarder votre site Web ?

Utiliser un service d’hébergement sécurisé

Au final, vous pouvez prendre toutes ces précautions, mais sans un fournisseur d’hébergement sécurisé, tout cela ne servira à rien.
En particulier, votre fournisseur d’hébergement doit surveiller en permanence son réseau et tenir à jour l’applicatif du serveur. Ce sont les principes de base à respecter lorsque vous recherchez un hébergeur, mais la sécurité de votre compte chez votre hébergeur est également essentielle.
Par exemple, vous devez vous assurer de faire appel à un hébergeur qui dispose d’une authentification à multiples facteurs pour accéder à votre compte chez eux.
Un site Web sécurisé est essentiel pour établir la confiance avec les visiteurs de votre site, et la mise en œuvre des conseils ci-dessus peut vous aider non seulement à protéger votre site et ses visiteurs, mais aussi à établir la confiance avec ceux qui comptent le plus pour votre site Web, à savoir les personnes qui le consultent.