Comment sécuriser un site Web ?
Les experts ont prédit qu’en 2019, les sites Web d’entreprise seraient la proie des attaques par ransomware à raison d’un site toutes les 14 secondes.
En 2018, les dommages causés aux sites Web attaqués par la cybercriminalité ont dépassé 5 milliards de dollars.
A lire aussi : Protéger sa vie privée sur les réseaux sociaux : les meilleures pratiques en matière de sécurité des données
Chaque année, ces attaques augmentent en taille, et avant que vous ne le sachiez, c’est peut-être votre site Web qui est affecté.
Plan de l'article
- Pourquoi vous devez garder votre site Web en toute sécurité
- Potentiel Attaquements Web/À quoi se préparer
- Sécurisation de votre site Web, les premières étapes
- 1. Utiliser des mots de passe sécurisés
- 2. Soyez prudent lors de l’ouverture des e-mails
- 3. Installer les mises à jour
- 4. Utiliser un service d’hébergement de site Web sécurisé
- 5. Un certificat SSL maintient les informations protégées
- 6. Autorisations de dossiers sécurisés
- 7. Exécuter des vérifications régulières de sécurité du site
- 8. Mise à jour des plates-formes et scripts
- 9. Installer les plugins de sécurité
- 10. Méfiez-vous des attaques XSS
- 11. Méfiez-vous de l’injection SQL
- Maintenant, vous savez comment sécuriser un site Web contre les pirates
Pourquoi vous devez garder votre site Web en toute sécurité
Chaque site Web est potentiellement vulnérable à ces attaques.
A voir aussi : Comment protéger mes mots de passe contre le vol
Tu dois garder la vôtre en sécurité. Un site non sécurisé peut être compromis. Les données de votre client peuvent être volées. Cela peut entraîner des pertes de revenus, des réparations coûteuses de codage de site Web et de nombreux autres problèmes.
Vous pouvez protéger votre site Web contre les pirates informatiques. Nous commencerons par quelques descriptions de base des types d’attaques que vous pourriez rencontrer. Ceci est suivi par les onze conseils pour sécuriser votre site Web.
Potentiel Attaquements Web/À quoi se préparer
chasse à la baleine/hameçonnage
Les attaques par hameçonnage sont utilisées pour amener les gens à donner leurs informations personnelles, comme un numéro de sécurité sociale ou un numéro de code PIN de compte bancaire. Ces attaques visent un large public dans l’espoir de tromper autant de personnes que possible. Généralement, l’hameçonnage se fait par e-mail.
Par exemple, un pirate envoie un e-mail qui ressemble à une banque, ce qui fait que le destinataire clique sur le lien en panique. Ce lien amène la personne à son site bancaire standard. Mais c’est un site conçu uniquement pour ressembler au vrai. Quelqu’un qui tombe pour une de ces astuces et remplit le formulaire sur ce site donne accidentellement leurs informations.
L’ hameçonnage est similaire, mais il cible une personne en particulier, pas beaucoup de gens en général. Les pirates choisissent une cible particulière, puis tentent de les amener à donner leurs informations sensibles.
La chasse à la baleine est similaire à l’hameçonnage lance-lance. Seul, dans ce cas, un dirigeant critique, dans une entreprise est ciblé. Cette personne est appelée une « baleine » en raison de son influence et de son pouvoir. Les pirates tentent d’attirer les baleines, dans l’espoir d’obtenir un accès de haut niveau aux sites Web de l’entreprise et aux comptes bancaires.
Ransomware côté serveur
Le ransomware frappe tout le monde, de l’utilisateur moyen de l’ordinateur à ceux qui exploitent des sites Web.
Ces attaques consistent en un pirate qui prend le contrôle d’un ordinateur et refuse de permettre à l’utilisateur d’accéder même aux commandes les plus basiques. Le ransomware côté serveur fonctionne de la même manière, sauf le pirate, prend le contrôle d’un serveur de site Web. L’accès à tous les sites Web de ce serveur est perdu jusqu’à ce que les pirates soient remplacés ou que leurs demandes soient satisfaites.
Vulnérabilités IoT
IoT est synonyme d’Internet des objets. Le terme fait référence au grand nombre d’appareils qui se connectent à Internet, tels que les smartphones et qui se connecte à Internet et aux sites d’accès.
Les principales vulnérabilités IoT sont les problèmes de confidentialité, les interfaces mobiles peu fiables et l’inadéquation de la sécurité mobile. Tous ces sites proviennent de sites Web qui n’ont pas les bonnes mesures de protection installées ou de ceux qui ne sont pas optimisés pour les appareils mobiles. Les pirates peuvent profiter de ces problèmes et les utiliser pour accéder à votre site Web.
Sécurisation de votre site Web, les premières étapes
Protéger votre site Web contre le piratage peut être réalisé en un processus simple en 11 étapes.
1. Utiliser des mots de passe sécurisés
La meilleure sécurité du site Web commence par un mot de passe sécurisé. Le backend (côté développeur) de chaque site Web est protégé par mot de passe. Bien qu’il soit tentant d’utiliser un mot de passe facile à retenir, ne le faites pas.
Au lieu de cela, choisissez quelque chose qui est extrêmement sûr et difficile pour n’importe qui sauf vous à comprendre. Une bonne règle pour les mots de passe consiste à inclure un mélange de lettres majuscules, de ponctuation et de chiffres, ou utiliser un mot de passe fort créé par un gestionnaire de mots de passe. N’utilisez jamais quelque chose de facile à deviner. Cela vaut pour tous les membres de votre organisation.
2. Soyez prudent lors de l’ouverture des e-mails
De nombreuses attaques par hameçonnage apparaissent dans les e-mails. Les pirates envoient également des virus par e-mail. Chacun de vos employés (vous y compris) doit être prudent lors de l’ouverture de courriels provenant de personnes que vous ne connaissez pas, surtout si ces courriels contiennent une pièce jointe. Les pourriels ne sont pas infaillibles. Un pirate peut compromettre la sécurité d’un site Web avec un virus, causant des ravages sur votre site Web.
Même les pièces jointes qui sont analysées et déclarées « propres » peuvent toujours contenir des virus nuisibles. Formez vos employés à prendre des précautions de sécurité lors de l’ouverture de courriels avec des pièces jointes.
3. Installer les mises à jour
Les fabricants conservent les systèmes d’exploitation et les logiciels fonctionnant efficacement avec des mises à jour régulières. Il peut être tentant de repousser ces mises à jour pour gagner du temps. Après tout, beaucoup d’entre eux nécessitent un redémarrage complet du système et un certain temps d’installation qui mange en productivité. Il s’agit d’une pratique dangereuse, car ces mises à jour contiennent de nouveaux correctifs de sécurité cruciaux. Vous devez installer ces mises à jour car elles sont disponibles pour assurer la sécurité de l’ensemble de votre système.
4. Utiliser un service d’hébergement de site Web sécurisé
Votre service d’hébergement Web joue un rôle essentiel dans la sécurité de chaque site Web relevant de leur juridiction. Choisissez le vôtre avec sagesse.
Avant de créer ou de déplacer votre site vers un hôte, demandez-leur au sujet de sa plate-forme de sécurité. Les meilleurs hôtes travaillent avec ou embauche des experts dans le domaine de la sécurité Internet. Ils comprennent l’importance que les sites Web de leurs clients ne sont pas vulnérables aux attaques.
Assurez-vous qu’ils incluent une option de sauvegarde. Vous pourriez perdre des informations précieuses à cause d’un pirate. Il est plus facile à reconstruire votre site à partir d’une sauvegarde qu’il ne l’est à partir de zéro.
Des options gérées sont également disponibles, telles que la sécurité en tant que service (Saas).
5. Un certificat SSL maintient les informations protégées
Les lettres dans « https » représentent Hypertext Transfer Protocol Secure. Toute page Web qui utilise ce protocole est sécurisée. Ces pages existent sur un serveur spécifique et sont protégées. Toute page contenant un identifiant ou qui demande des informations de paiement doit être sur ce système sécurisé. Cela dit, il est possible de configurer l’ensemble de votre site Web en utilisant https.
Google a commencé à marquer les sites du navigateur Chrome comme non sécurisés qui n’utilisent pas de certificats SSL ou ne chiffrent pas les données.
6. Autorisations de dossiers sécurisés
Les sites Web se composent de dossiers et de fichiers qui contiennent toutes les informations nécessaires au bon fonctionnement de votre site. Tous ces éléments sont en direct sur votre serveur web. Sans la protection de la vie privée de protections et de mesures de sécurité, toute personne possédant les compétences requises peut entrer et consulter cette information.
Empêchez cela en attribuant des autorisations de sécurité à ces fichiers et dossiers. Accédez au gestionnaire de fichiers de votre site Web et modifiez les attributs de fichier.
Dans la section « valeurs numériques » définissez les autorisations pour ces options :
- 644 pour les fichiers individuels
- 755 pour les fichiers et répertoires
7. Exécuter des vérifications régulières de sécurité du site
Une bonne vérification de sécurité peut identifier tout problème potentiel avec votre site Web. Utilisez un service de surveillance Web pour automatiser cette opération. Vous devez effectuer un test sur la programmation de votre site chaque semaine (au minimum). Les services de surveillance ont des programmes qui rendent cela facile à faire.
Une fois le rapport reçu, portez une attention particulière aux résultats. Ce sont toutes les vulnérabilités de votre site. Le rapport doit contenir détails sur eux. Il peut même les classer en fonction du niveau de menace. Commencez par les plus nuisibles, puis corrigez ces problèmes.
8. Mise à jour des plates-formes et scripts
Nous avons déjà abordé l’importance de maintenir votre logiciel informatique à jour. Il en va de même pour votre plateforme d’hébergement web, et vos plugins et scripts, tels que Javascript.
Si vous utilisez WordPress, assurez-vous que vous exécutez la version la plus mise à jour. Si vous ne l’êtes pas, mettez à jour votre version en cliquant sur le bouton en haut à gauche de l’écran. Il est impératif de garder un site WordPress à jour pour éviter toute menace potentielle.
Pour les personnes qui n’utilisent pas WordPress, consultez le tableau de bord de votre hôte Web pour connaître les mises à jour. Beaucoup d’entre eux vous informeront de la version de leur logiciel que vous utilisez et vous tiendront informés de tous les correctifs de sécurité.
Vous devez également vérifier vos plugins et outils.
La plupart Les plugins WordPress sont créés par des sociétés tierces (ou des particuliers). Bien qu’ils soient sûrs, vous comptez pour la plupart sur ces tiers pour maintenir leurs paramètres de sécurité à jour. Mettez de côté le temps de vérifier les mises à jour du plugin au moins une fois par semaine, et gardez un œil sur tout ce qui peut sembler étrange, comme un plugin qui cesse de fonctionner correctement. Ça pourrait être un signe que c’est compromis.
9. Installer les plugins de sécurité
Il y a plusieurs options ici, en fonction du type de site Web que vous exécutez. Pour ceux basés sur WordPress, il existe des plugins de sécurité WordPress spécifiques qui fournissent une protection supplémentaire. Parmi les exemples figurent la sécurité pare-balles et la sécurité iThemes. Si votre site n’est pas sur WordPress, protégez-le avec un programme comme SiteLock.
Les plugins de sécurité empêchent les pirates d’infiltrer votre site. Même les plates-formes d’hébergement les plus récentes présentent une certaine vulnérabilité. Ces plugins garantissent que personne ne peut profitez-en d’eux.
SiteLock surveille votre site en permanence à la recherche de logiciels malveillants et de virus. Il élimine également ces failles vulnérables, fournissant des mises à jour de sécurité supplémentaires.
10. Méfiez-vous des attaques XSS
XSS est un script intersite. Une attaque XSS est lorsqu’un pirate insère un code malveillant dans votre site Web, ce qui peut modifier ses informations ou même voler des informations utilisateur. Comment peuvent-ils entrer ? C’est aussi simple que d’ajouter du code dans un commentaire de blog.
Empêchez les attaques XSS en insérant un en-tête CSP dans le code de votre site Web. CSP est synonyme de politique de sécurité du contenu. Il limite la quantité de Javascript sur votre site Web, empêchant ainsi l’exécution de scripts étrangers et potentiellement contaminés. Définissez le de sorte que seul le Javascript ajouté à la page par votre développeur Web fonctionne.
11. Méfiez-vous de l’injection SQL
SQL est synonyme de langage de requête structuré. C’est un type de code qui gère et permet aux utilisateurs de rechercher des informations dans les bases de données.
Voici un exemple d’attaque SQL : si vous avez un formulaire de recherche sur votre site Web, les utilisateurs peuvent entrer des termes pour rechercher de nouvelles informations spécifiques. Maintenant, imaginez que quelqu’un est entré dans vos fichiers de base de données et inséré un code conçu pour les gâcher.
Ce code peut supprimer des informations et rendre difficile pour le site Web de trouver ce qu’il doit exécuter. Les pirates passent par les paramètres d’URL et les champs de formulaire Web et font des ravages. Gardez cela en configurant des requêtes paramétrées et assurez-vous de créer des formulaires sécurisés.
Maintenant, vous savez comment sécuriser un site Web contre les pirates
Espérons que maintenant vous comprenez l’importance de créer un site Web sécurisé. Vous comprenez également les onze étapes à suivre pour empêcher les pirates informatiques d’accéder à son code et à ses éléments.
Laisser votre site Web vulnérable aux pirates peut détruire votre gagne-pain, surtout si vous gérez une entreprise basée sur le Web. Tout ce qu’il faut, c’est une lacune, et des années d’années d’information sur les clients peuvent être compromises. Cela rend votre entreprise mauvaise paraître et crée une attention négative de la presse. Vous perdrez des clients, dont beaucoup ne reviendront peut-être pas.
Ne laissez pas ce scénario se produire. Concentrez-vous plutôt sur la sécurité du site Web en utilisant les conseils présentés ici.
