10 trucs pour améliorer la sécurité de votre site web
C'est le cauchemar de tous les propriétaires de site web: se réveiller un jour pour se rendre compte qu'une faille sécuritaire a été exploitée pour pirater leur site web. Malheureusement, il s'agit d'une situation qui arrive plus souvent que l'on peut imaginer. Surtout, dès que l'on possède une entreprise et qu'on a une certaine renommée, le risque est encore plus grand, car le défi de pirater le site devient intéressant.
Voilà pourquoi il est si important de s'assurer que tout soit mis en place pour que le site web soit bien protégé et de faire des vérifications régulières pour voir s'il y a des failles potentielles.
Comment améliorer la sécurité de votre site web ? Voici 10 trucs à suivre et répéter fréquemment
Les pirates informatiques sont créatifs et ont une multitude de types d'attaques qu'ils peuvent essayer pour hacker votre site. Les conseils suivants sont généraux et ne représentent pas des solutions absolues, mais pourront tout de même aider à prévenir la plupart des problèmes potentiels. Il est aussi important de prioriser selon votre type de site internet.
Vous n'avez jamais eu à faire face à ce genre de problème? En complément avec cet article, nous vous conseillons de lire cet article pour avoir une idée du genre de situation qui peut arriver et des conséquences qui peuvent en ressortir:
10 conseils pour protéger votre site web et vous assurer qu'il n'est pas vulnérable
1) Changer vos mots de passe
Cela peut sembler comme un conseil de base, mais pourtant, chaque année, on constate à quel point les gens sont laxistes à ce niveau. Déjà, on voit souvent à quel point les mots de passe trop simples sont encore couramment utilisés. Les "1234" et "abcd" sont à proscrire, surtout lorsqu'il s'agit d'accéder au back-end du site et d'entrer dans la base de données. D'un autre côté, même si vous utilisez des mots de passe compliqués, il est tout de même préférable de les changer souvent. Pour vous aider à garder le dessus à ce niveau, vous pouvez utiliser un gestionnaire de mots de passe.
Pour ceux qui sont en manque d'inspiration, l'utilisation d'outils tels que KeePass ou LastPass peut vous permettre d'avoir des mots de passe suffisamment complexes pour berner les pirates informatiques. Garder également en tête qu'il n'est pas recommandé d'utiliser le même mot de passe pour plus d'un service, car si vous êtes victime d'un piratage, vous voilà particulièrement vulnérable.
2) Surveiller l'activité sur votre base de données
Les bases de données sont particulièrement vulnérables face aux attaques, surtout lorsque les utilisateurs peuvent envoyer des fichiers attachés ou remplir des formulaires où ils pourraient écrire du code. Il faut donc évaluer s'il y a un potentiel pour que des gens qui visitent le site puissent accéder au code et y effectuer des modifications en utilisant cette technique. Si vous êtes en mesure de le faire, effectuez vous-même des tests. Autrement, n'hésitez pas à mandater des experts pour accomplir cette tâche.
À ce propos, notez que l'activation de Google Webmaster Tools (Google Search Console) est une excellente façon d'être mis au courant des activités anormales qui se déroulent sur votre site. En effet, comme Google effectue une mise à jour régulière de son index de recherche, il est en mesure de rapidement repérer toute activité jugée suspecte.
3) Vérifier que les logiciels sont mis à jour
Tous les logiciels associés à votre site web doivent être mis à jour régulièrement. Vous utilisez probablement des CMS ou des logiciels associés à votre serveur. Lors de chaque mise à jour, des protections supplémentaires sont intégrées et des failles sont calfeutrées. Par conséquent, ces "updates" sont d'une importance vitale. Vous pouvez aussi utiliser des logiciels qui vous signaleront la présence de failles dans les logiciels. Lorsque vous recevez une notification, veillez à réagir le plus rapidement possible.
Vous avez un projet de sécurité de site web?
Contactez-nous pour être mis en relation avec des fournisseurs certifiés!
4) Assurez-vous de partager le moins d'information possible
Par exemple, lorsque votre site émet des messages d'erreur, vous devriez vous assurer que ces messages ne dévoilent pas trop d'information (notamment des clés API). Dans toutes les situations, assurez-vous que les informations et les messages que vous partagez avec les utilisateurs contiennent le moins de données précises possible.
5) Appliquer le HTTPS partout sur votre site web
Vous n'avez pas encore appliqué le HTTPS sur votre site? Ne tardez surtout pas à le faire! Surtout que si votre site n'adhère pas à ce protocole de sécurité, certains moteurs de recherche comme Google et Bing vont le pénaliser en le faisant baisser dans les classements. En bref, le HTTPS est un protocole de communication qui garantit entre autres au visiteur que ses informations sont envoyées au serveur du site et que les données sont cryptées, évitant ainsi la possibilité que des tierces parties puissent y accéder. Il est d'autant plus important de l'utiliser sur les pages où les visiteurs doivent envoyer des informations sensibles (mots de passe, données personnelles).
Également, notez que le protocole HTTP a tout intérêt à être activé avec un certificat SSL. En effet, ce dernier représente une forme de protection supplémentaire autant pour vos visiteurs que pour vous-même.
Si vous voulez plus d'information au sujet du HTTPS et des certificats SSL, consultez ces deux articles:
6) Installer des plug-ins de sécurité
Certains plug-ins que vous pouvez installer sur votre site web auront pour effet d'augmenter la sécurité de ce dernier, leur principal objectif étant de bloquer le chemin aux aspirants pirates informatiques. Vous trouverez beaucoup d'options, tout dépendant de vos besoins. Par exemple, certains plug-ins sont spécifiquement conçus pour Wordpress alors que d'autres fonctionnent avec les CMS. Faites des recherches et regardez les commentaires pour avoir un bon aperçu de leur niveau de fiabilité.
7) Faire des sauvegardes régulièrement
Les back-ups de votre site web doivent être effectués à intervalle régulier. En quoi les sauvegardes peuvent-elles contribuer à améliorer la sécurité du site? En fait, si vous avez un problème, vous pourrez rapidement restaurer le site et le remettre en marche sans trop de complications. La plupart des services d'hébergement offriront une option de sauvegarde. Vous pouvez aussi regarder si votre logiciel CMS contient l'option ou si vous pouvez installer un plug-in qui fait le travail automatiquement.
Sur ce point, spécifions qu'il faut mettre en parallèle le nombre de sauvegardes qui doivent être faites avec le nombre de mises à jour réalisées sur le site. Ainsi, si vous effectuez des mises à jour aux deux jours, vous devriez avoir 15 sauvegardes d'effectuées par mois.
8) Utiliser un outil pour tester la sécurité du site web
Il existe des outils qui vous permettent de faire un diagnostic général du niveau de sécurité de votre site. Ces outils sont très utiles et peuvent être activés régulièrement, que ce soit à chaque semaine ou à chaque mois, au besoin. Les scans de sécurité devraient aussi être opérés chaque fois qu'un changement de moyenne ou grande envergure est effectué sur le site.
9) Consulter des spécialistes de la cybersécurité
Concernant le point précédent, il est à noter que ces outils ne sont pas infaillibles et que rien ne remplace l'expertise de spécialistes de la cyber sécurité! Voilà pourquoi vous devriez faire appel aux services d'une firme ou d'une personne qui travaille à son compte et qui possède beaucoup d'expérience dans ce domaine. En général, ces entreprises offrent plusieurs options, allant de la couverture entière aux audits de cybersécurité performés de façon périodique.
10) Réparer les failles rapidement
Quelle que soit votre situation, l'une des choses les plus importantes à faire, c'est de réparer les failles que vous découvrez sur votre site web le plus rapidement possible. N'attendez pas qu'un problème survienne avant de réagir! En effet, même si la faille est mineure, cela pourrait vous exposer à des problèmes importants. Vous ne possédez pas l'expertise pour effectuer les modifications nécessaires? Faites appel à des spécialistes!
La sécurité sur les sites web e-commerce
Nous y avons fait référence à plusieurs reprises au courant de l'article, mais il est important de le spécifier de nouveau: les mesures de sécurité sont d'autant plus essentielles lorsqu'il est question d'un site e-commerce. Les visiteurs qui se rendront sur votre site doivent savoir qu'ils peuvent vous faire confiance.
Si une brèche de sécurité survient et que leurs données personnelles sont volées, vous aurez beaucoup de mal à regagner leur confiance. La plupart des conseils présentés ci-haut s'appliquent aux sites e-commerce mais pour une garantie supplémentaire, vous devriez obtenir l'avis d'un expert qui pourra vous présenter des actions précisément adaptées à vos besoins et à ceux de vos utilisateurs.
Mot de la fin
La morale de cet article: personne n'est en sécurité et il faut rester vigilants, sans devenir paranoïaques pour autant. La sécurité de votre site doit être au coeur de vos préoccupations, surtout lorsque vos clients s'en servent pour effectuer des transactions. Vous aimeriez en apprendre davantage sur la cybersécurité? Voici un article écrit par Pascale Dominique de chez ConnecTalk, publié sur notre blogue dans le cadre d'une collaboration: