Il est facile de faire des erreurs lors de l'excitation de l'ouverture d'un nouveau site Web. Lancer un petit magasin, un portefeuille ou un blog est très amusant, mais faire face aux failles de sécurité et aux piratages l'est beaucoup moins. Lorsque vous configurez un nouveau site Web, il est important de vous assurer qu'il est sécurisé.
Heureusement, la plupart des choses que vous devriez faire sont très simples. Certains prendront un peu de temps, mais c'est un investissement qui en vaut la peine. Ne laissez pas votre site sans protection ! Voici 10 choses que vous pouvez faire pour le garder en sécurité.
Lors de l'enregistrement de votre domaine, vous voulez vous assurer que personne n'en aura le contrôle. Si un malfaiteur parvient à se connecter à votre bureau d'enregistrement de domaine, il pourrait se le transférer à lui-même ou causer d'autres ravages.
Il existe quelques options pour les bureaux d'enregistrement de domaine qui utilisent l'authentification à deux facteurs (2FA). Cela ajoute un niveau de sécurité supplémentaire et rend l'accès beaucoup plus difficile pour quelqu'un d'autre. Même si quelqu'un parvient à obtenir votre mot de passe, il n'aura probablement pas accès à votre téléphone.
Voici quelques bureaux d'enregistrement qui proposent 2FA :
Chaque site Web a une entrée WHOIS, et si vous ne prenez pas les mesures nécessaires pour vous assurer que vos informations y sont protégées, votre nom et votre adresse e-mail seront faciles à trouver pour les sociétés de spam. Votre nom et votre adresse e-mail sont tous deux nécessaires pour l'usurpation d'identité. Par conséquent, les garder confidentiels pourrait également vous protéger sur ce front.
La plupart des hébergeurs proposent un enregistrement WHOIS anonyme pour une somme modique, mais il y en a quelques-uns qui le fournissent gratuitement. Dreamhost et 1and1 vous permettent d'ouvrir gratuitement un site avec des informations WHOIS anonymes.
Que vous décidiez de payer ou non, faites ce que vous pouvez pour garder votre nom et votre adresse e-mail (ou même simplement votre adresse e-mail) hors de votre enregistrement WHOIS. Cela vous évitera de devoir gérer de nombreux spams et il sera un peu plus difficile pour quelqu'un d'obtenir vos informations.
J'espère que cela va sans dire, mais changez vos mots de passe immédiatement. Si votre domaine, hébergeur, CMS ou autre est fourni avec un mot de passe administrateur standard, changez-le. Vous devriez même changer votre nom d'utilisateur de "admin" à autre chose si c'est la valeur par défaut.
Ce n'est pas non plus une mauvaise idée de changer régulièrement vos mots de passe. Utilisez un gestionnaire de mots de passe pour en garder une trace et assurez-vous qu'ils sont sécurisés.
Une fois que vous avez sécurisé votre inscription, il est temps de sécuriser le site lui-même. Et la première étape, tout comme la première étape pour sécuriser quoi que ce soit d'autre, consiste à tout mettre à jour.
Au fur et à mesure que les entreprises découvrent des failles dans leur sécurité, elles publient des correctifs et des mises à jour. Si vous ne mettez pas à jour votre logiciel, vous resterez vulnérable. La plupart des hébergeurs rendent cela très facile et vous rappelleront souvent de mettre à jour lorsqu'une nouvelle version est disponible. Néanmoins, il est conseillé de vérifier régulièrement les informations sur votre version.
Si vous utilisez un système de gestion de contenu (CMS), des plug-ins de sécurité sont disponibles pour celui-ci. Les grands comme WordPress, Drupal, Joomla et Magento en ont tous une tonne. Tout ce que vous avez à faire est de choisir ceux qui correspondent le mieux à votre situation, puis de les télécharger, de les installer et de les activer.
Chaque CMS et extension de sécurité vous donnera des conseils différents sur exactement ce que vous devez utiliser. C'est également une bonne idée de consulter les avis de tiers sur les plugins de sécurité. Mais si le plugin est créé par un fournisseur réputé, cela contribuera à la sécurité de votre site. Utilisez des paramètres de sécurité plus élevés pour éliminer encore plus de vulnérabilités et maintenez également vos extensions à jour.
Ce n'est pas seulement à votre propre sécurité que vous devriez penser. Vos visiteurs et Google apprécieront que vous cryptiez tout le trafic sur votre site. Surtout si vos visiteurs partageront des informations sensibles.
Certains services d'hébergement activent automatiquement HTTPS pour vous, et d'autres vous permettent de le faire en un clic ou deux. Si vous hébergez vous-même ou si vous louez simplement de l'espace serveur, vous devrez peut-être le faire à la dure. Cela implique d'acheter un certificat SSL, de l'activer et de configurer votre site pour utiliser HTTPS.
Ce n'est pas particulièrement compliqué, mais le processus peut différer selon votre service d'hébergement, alors vérifiez avec eux pour trouver la meilleure façon de le faire.
Différents utilisateurs de votre site Web auront différents niveaux d'autorisation. En tant qu'administrateur, vous aurez la permission de modifier tout ce que vous voulez - les autres personnes devraient être plus restreintes. Les CMS vous permettent souvent de modifier les autorisations des visiteurs, des visiteurs connectés, des éditeurs, des contributeurs et de nombreux autres groupes d'utilisateurs.
Réfléchissez au degré d'accès que chaque groupe devrait avoir. Vos éditeurs doivent créer de nouveaux utilisateurs ? Vos lecteurs doivent-ils pouvoir modifier les pages ? Donnez à chacun le moins d'autorisations possible pour qu'il puisse faire son travail.
Si vous voulez être vraiment technique, vous pouvez utiliser un client FTP pour consulter tous les fichiers de votre site et vérifier leurs autorisations en notation symbolique ou numérique. Vous pouvez ensuite utiliser le terminal de commande pour modifier les autorisations. (Si vous n'avez aucune idée de quoi je parle, soyez prudent avec ça !)
Les pages que vous utilisez pour vous connecter et gérer votre site Web ne doivent pas être visibles par les moteurs de recherche. Cela peut ne pas sembler être une mesure de sécurité, mais il est plus difficile pour les personnes mal intentionnées de trouver ces pages. Et parce que c'est généralement très facile à faire, cela vaut la peine de prendre quelques minutes.
Certains CMS et plugins de sécurité vous permettront de masquer ces pages aux moteurs de recherche. Si le vôtre ne fournit pas cette fonctionnalité, vous pouvez le faire manuellement en éditant votre fichier robots.txt, qui devrait être accessible depuis les paramètres de votre CMS ou la section administrateur de cPanel. Ajoutez ce qui suit au fichier :
User-agent :*
Interdire :[l'URL relative de la page]
Dans WordPress, vous utiliseriez "/wp-admin/" comme URL. Les autres CMS auront des URL différentes. Vous pouvez également interdire toute autre page que les utilisateurs n'ont pas besoin de voir. Non seulement c'est bon pour la sécurité, mais cela peut aussi aider votre référencement !
XSS est une tactique de piratage qui consiste à exécuter du code sur votre site Web par le biais de méthodes détournées. Cela peut arriver dans un formulaire de contact, par exemple. En incluant un script dans le formulaire de contact, un pirate informatique pourrait amener votre site Web à exécuter ce code, leur donnant accès ou faisant des ravages.
Se protéger contre ce type d'attaque est en fait assez compliqué. Si vous voulez en savoir plus sur les méthodes que vous pouvez utiliser, consultez cette impressionnante feuille de triche anti-XSS de l'OWASP. Si vous êtes moins enclin à la technique, de nombreux plugins anti-XSS sont disponibles. Certains plugins de sécurité standard peuvent couvrir cette vulnérabilité, mais ne supposez pas que ce soit le cas. Assurez-vous d'être protégé.
Bien que XSS, l'injection SQL, le craquage de mot de passe et d'autres méthodes de piratage puissent sembler les plus dangereuses, ce sont souvent les choses les plus simples qui causent des problèmes. La fuite d'informations est l'une de ces choses.
Lorsque vous donnez accidentellement des informations que vous n'aviez pas l'intention de (ou dont vous n'êtes pas au courant), il s'agit d'une fuite d'informations. Il est facile pour les développeurs de laisser accidentellement des commentaires HTML dans le code de votre site Web, par exemple, qui contiennent des informations sensibles.
Si vous travaillez avec une implémentation CMS standard, cela ne posera pas vraiment de problème. Mais si quelqu'un a conçu un thème personnalisé pour vous ou effectué un travail de développement approfondi sur le site Web, vous devez vérifier les fuites d'informations. L'un des meilleurs moyens consiste simplement à utiliser la Afficher la source dans votre navigateur et recherchez rapidement les commentaires HTML qui n'ont pas été supprimés.
Les sites Web plus volumineux composés de centaines ou de milliers de pages peuvent nécessiter un spécialiste de la sécurité dédié (ou au moins un stagiaire) pour suivre ce processus. Quoi qu'il en soit, c'est une chose facile à vérifier, alors ne la sautez pas.
Lorsque vous créez un nouveau site Web, vous devez faire beaucoup de choses. Et il est facile d'oublier ces mesures de sécurité de base. Mais ils pourraient vous faire économiser beaucoup d'ennuis (et potentiellement beaucoup d'argent) à long terme. Alors ne les négligez pas ! Assurez-vous que votre site est sécurisé avant de commencer à travailler sur votre contenu.
Quels autres conseils avez-vous pour sécuriser de nouveaux sites Web ? Partagez vos impressions dans les commentaires ci-dessous !