Les sites web sont par nature des éléments très exposés et leur sécurisation revêt une grande importance. 

Parmi les menaces auxquelles sont exposés les sites, les plus connues sont les défigurations et les dénis de service. 

Une défiguration est une attaque par laquelle une personne malveillante modifie le site pour remplacer le contenu légitime afin, par exemple, de relayer un message politique, de dénigrer le propriétaire du site ou simplement, de revendiquer son attaque comme preuve d’un savoir-faire. Un déni de service (DDOS) a quant à lui pour objet de rendre le site attaqué indisponible pour ses utilisateurs légitimes. Une TPE/PME sera généralement peu concernée par le DDOS, qui touche plutôt les sites institutionnels, l’impact étant plus visible.  

D’autres types d’attaques, plus sournoises, peuvent aussi exister (attaque par force brute par ex.). Elles ont pour but d’entrer dans le système d’information de l’hébergeur ou du propriétaire du site. Elles peuvent aussi permettre aux hackers de déposer des contenus illégaux ou de lancer des attaques sur d’autres sites web.

Pour limiter les risques, il est important de respecter un certain nombre de principes :

 

Mettre le site en HTTPS

Ce protocole permet que les données échangées entre le navigateur de l’internaute et le site web soient chiffrées et ne puissent en aucun cas être espionnées (confidentialité) ou modifiées (intégrité). Historiquement réservé à la partie commerce des sites web (Panier, pages de paiement..), cette sécurisation des pages de site s’est étendue à tous les contenus web, même les sites vitrines. 

 

Protéger l’accès à l’interface d’administration

Cela passe par plusieurs mécanismes.
 

  • Changer le lien d’accès au back-office : Dans tous les sites WordPress par exemple, le lien pour accéder à l’interface de gestion est de la forme : www.nomdedomaine.fr/wp-admin. Il est donc facile pour tout robot de tester ce lien et de faire une attaque de force brute en envoyant des milliers d’identifiants et de mots de passe afin de rentrer sur le site.
    Des extensions permettent donc de modifier ce lien et de le personnaliser, par exemple sous la forme : www.nomdedomaine.fr/connexion-site 

 

  • Sécuriser les identifiants et mots de passe : Comme pour beaucoup de services en ligne, il est primordial de complexifier les valeurs d’accès au site. Les identifiants Admin/Admin sont bien sûr à proscrire. Une bonne politique de mots de passe est à appliquer.

 

  • Mettre en place une double authentification : De nombreux services, notamment bancaires, utilisent cette méthode.
    Pour un site web, le principe est le même, une fois les identifiants saisis, une deuxième authentification est nécessaire (un code de sécurité envoyé par SMS ou par e-mail ou l’utilisation d’une application d’authentification, par exemple : Google Authenticator).

 

Installer une extension de sécurisation du site

Ces extensions permettent d’avoir une surveillance permanente du site web. Elles intègrent un pare-feu (firewall) pour contrôler les accès extérieurs, scannent les fichiers à la recherche de malwares et vérifient l’intégrité des fichiers du site. Pour WordPress, par exemple, il existe Wordfence, Jetpack, Secupress… Chacune proposant des fonctionnalités de base en version gratuite et plus avancées en Premium (payant). 

 

Faire les mises à jour régulièrement

Tous les CMS comme WordPress, Prestashop, Joomla ou autres font l’objet de mise à jour, aussi bien sur le logiciel lui-même que sur les extensions. Il est impératif de faire ces mises à jour pour garder un site en « bonne santé ». Elles corrigent des bugs et comblent des failles de sécurité, réduisant ainsi les risques d’attaques. 

Malgré toutes ces précautions, un site n’est jamais à l’abri d’un piratage, d’un plantage ou d’un conflit d’extension. Il est donc nécessaire de réaliser des sauvegardes du site. Pour cela, encore une fois, il faut passer par l’installation d’une extension. Pour WordPress, il en existe des connues comme Updraftplus, Backwup, Duplicator… 

Dans l’idéal, ces solutions doivent : 

  • Proposer une sauvegarde totale de votre site, aussi bien le cœur du CMS que la base de données 
  • Disposer d’une fonction de sauvegarde automatique 
  • Permettre de restaurer votre site en cas de problème technique 
  • Proposer d’effectuer une sauvegarde vers un espace de stockage distant (Google Drive, OneDrive…) En effet, si vos sauvegardes sont stockées uniquement sur votre serveur, en cas de problème sur celui-ci, la sauvegarde sera inutile.
     

Ces bonnes pratiques sont la base de la sécurisation du site. Il convient parallèlement de se tenir informé et surveiller régulièrement l’état de son site. À partir du moment où le site a été créé par un prestataire, il est fortement conseillé de prendre un forfait de maintenance auprès de ce professionnel afin de sécuriser son site, ce domaine étant vite technique.

—-

Crédits photos

En-tête d’article : Photo de Mitchell Luo sur Unsplash

Sommaire

Partager cet article

Sur le même thème

Lien vers l’article

vocabulaire cybersécurité
  • CYBERSÉCURITÉ

Les 30 mots-clés de la cybersécurité : un guide pour les petites entreprises

Lire l'article

Lien vers l’article

  • SITE WEB
  • TRAFIC WEB

Analyser le trafic de son site web

Lire l'article

Lien vers l’article

seo-2855554_640_resultat
  • MOTEUR DE RECHERCHE
  • RÉFÉRENCEMENT
  • SEO
  • SITE WEB

Comment indexer son site web ?

Lire l'article