Sécuriser son Site Web en cinq étapes
Un site web sur deux est aujourd’hui développé via un CMS. Autant de cibles de choix pour les hackers. Quelles sont les clés pour éviter les pièges et réduire le risque de piratage ?
1. Toujours mettre à jour son CMS
Au vu du grand nombre d’utilisateurs, lorsqu’une faille de sécurité est révélée, beaucoup de sites web se retrouvent vulnérables. Résultat : ce ne sont pas moins de plusieurs dizaines de gigaoctets de données qui se retrouvent sans protection. Les éditeurs de logiciels de gestion de contenu (ou Content Management System) proposent alors, sous quelques jours, des patchs ou mises à jour afin de sécurité. Mais attention, rien ne sert de se jeter le premier sur la mise à jour ou la version alpha proposée. C’est à ce moment-là que la sécurité est la plus faible ! Attendez plutôt les premiers retours, pour vous assurer qu’aucune backdoor n’est restée ouverte.
2. Ne pas installer n’importe quel plugin
La plupart des CMS sont open source : tout le monde peut ainsi développer des plugins et les proposer au public. Or, certains développeurs ne prennent pas en compte les risques de sécurité et offrent des backdoors que les hackers se font un malin plaisir d’exploiter. Il est donc préférable de ne pas installer des plugins non mis à jour depuis moins d’un an ou très peu installés.
3. Utiliser des plugins de monitoring
Les plugins de monitoring permettent de garder un œil sur l’activité du CMS (connexion au back office, mise à jour d’articles…). Utiles, ils détectent rapidement une activité suspecte ou une faille. Plus tôt un acteur malveillant ou un problème est identifié, plus simple il sera à corriger ou bloquer. Les plugins de monitoring fournissent également des logs d’accès avec des adresses IP : indispensables pour tracer la provenance d’une attaque.
L’extension la plus utilisée de WordPress en matière de monitoring est Sucuri Security. Elle scanne et identifie les malwares présents sur le serveur, renforce la sécurité du CMS, bloque les spams et propose d’autres fonctionnalités très pratiques pour mieux protéger son site web – et par extension son serveur.
4. Protéger aussi son serveur
Au-delà de la mise à jour des plugins et du CMS, il convient de se doter d’une sécurisation plus avancée du serveur. Le premier niveau se gère dans le fichier htaccess qui doit être placé à la racine du serveur. Suivant la configuration de ce dernier, il est possible de bloquer l’accès du site à certaines adresses IP, d’interdire certains types de fichiers dangereux ou de bloquer des requêtes.
Exemple de code pour bloquer les attaques XSS (Cross-Site Scripting) :
5. Réaliser des audits de sécurité
Si malgré tout, le serveur reste sujet aux attaques et aux failles de sécurité, une seule solution : l’audit de sécurité des infrastructures réseaux/serveur. De nombreuses entreprises sont spécialisées dans ce domaine et fourniront les meilleurs indications afin de se préserver des pirates informatiques !
Profitez de l’expérience de notre agence pour vous doter d’un site entièrement sécurisé.
Recommended Posts
20 bonnes raisons d’utiliser WordPress
décembre 5, 2019
Les différents types de Sites Internet
novembre 2, 2019
Comment choisir un hébergeur ?
janvier 4, 2019